1. 说明
本篇文章主要说一下MySQL数据中身份鉴别控制点中b、c、d测评项的相关知识点和理解。
2. 测评项
b)应具有登录失败处理功能,应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施;
c)当进行远程管理时,应采取必要措施防止鉴别信息在网络传输过程中被窃听;
d)应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别,且其中一种鉴别技术至少应使用密码技术来实现。
3. 测评项b
b)应具有登录失败处理功能,应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施;
3.1. 登录失败功能1
对于登录失败功能,先说一说初级教程里的参数:max_connect_errors:
这里的参数其实和我们想要的功能有差别,根据测评项,需要的是输入口令失败次数过多后锁定相应账户的功能。
max_connect_errors从表面说明看来,好像是这样。
但我自己在本地进行测试后,发现当口令错误次数超过max_connect_errors的值后,仍可以登录数据库。
根据网上的说明,max_connect_errors所指的“请求没有成功的建立就断开了”,其实是指由网络因素导致的连接失败。
在客户端与MySQL进行连接时,会首先发起三次握手协议,在这个期间,有一个超时时间,如果网络超时超过该时间,这次连接就无法正常建立,这个失败次数会计入host_cache表中的SUM_CONNECT_ERRORS字段中,当SUM_CONNECT_ERRORS超过限定值max_connect_errors时,就会阻止该主机的所有请求了。
而因为输入口令错误导致的连接错误,不会计入SUM_CONNECT_ERRORS中,也就不会达到我们想要的效果了。
关于max_connect_errors的详细说明,可以看一看这篇文章:MySQL参数max_connect_errors分析释疑
3.2. 登录失败功能2
可以使用插件CONNECTION_CONTROL和CONNECTION_CONTROL_FAILED_LOGIN_ATTEMPTS共同实现。
使用下列语句查询插件:
mysql> SELECT PLUGIN_NAME, PLUGIN_STATUS
FROM INFORMATION_SCHEMA.PLUGINS
WHERE PLUGIN_NAME LIKE 'connection%';
+------------------------------------------+---------------+
| PLUGIN_NAME | PLUGIN_STATUS |
+------------------------------------------+---------------+
| CONNECTION_CONTROL | ACTIVE |
| CONNECTION_CONTROL_FAILED_LOGIN_ATTEMPTS | ACTIVE |
+------------------------------------------+---------------+
然后是它的相关参数值:
show variables like '%connection_control%';
参数解释如下:
connection_control_failed_connections_threshold:在服务器增加后续连接尝试的延迟之前,允许客户端进行的连续失败连接尝试的次数。
connection_control_min_connection_delay:对于超出阈值的每个连续连接失败,要添加的延迟量。
connection_control_max_connection_delay:要添加的最大延迟。
上述参数中,关于时间参数的单位是毫秒,其作用如下:
例如,使用默认值 connection_control_failed_connections_threshold 和 connection_control_min_connection_delay 值分别为3和1000,客户端的前三个连续失败连接尝试没有延迟,第四次失败尝试没有1000毫秒的延迟,第五次失败尝试有2000毫秒的延迟,依此类推,直到允许的最大延迟 connection_control_max_connection_delay。
具体可以参看官方说明:连接控制插件的安装
这里说一点,两个插件要都处于启用状态才能实现效果:
可以安装一个插件而不安装另一个插件,但是必须安装两个插件才能完全控制连接。特别是,仅安装 CONNECTION_CONTROL_FAILED_LOGIN_ATTEMPTS 插件没什么用,因为如果没有 CONNECTION_CONTROL插件提供填充CONNECTION_CONTROL_FAILED_LOGIN_ATTEMPTS 表的数据,那么 从表中进行的检索将始终为空。
3.3. 超时功能
在初级教程中,说的是wait_timeout参数,这个参数的单位是秒,默认值是28880。
这个超时时间,指的是某个和数据库的连接,在限制时间内没有发起任何请求,这个连接就会被清理掉。
但实际上相关的参数是两个,从官方文档上来看,interactive_timeout和wait_timeout是一样的,都是指不活跃的连接超时时间,连接线程启动的时候wait_timeout会根据是交互模式还是非交互模式被设置为这两个值中的一个。
交互式操作:通俗的说,就是你在你的本机上打开mysql的客户端,就是那个黑窗口,在黑窗口下进行各种sql操作,当然走的肯定是tcp协议。
非交互式操作:就是你在你的项目中进行程序调用。比如一边是tomcat web服务器,一边是数据库服务器,两者怎么通信?在java web里,我们通常会选择hibernate或者是jdbc来连接。那么这时候就是非交互式操作。
当使用交互模式时,使用interactive_timeout参数,而非交互模式时,则使用wait_timeout参数。
但实际上呢,MySQL在这里绕了个圈子,使用交互模式时,虽然使用的是interactive_timeout参数,但这里所谓的使用是指在check_connection函数在建立连接初期,将interactive_timeout值赋给wait_timeout,然后仍然由wait_timeout来控制超时(这种模式太容易误导人了):
做个实验,默认状况下interactive_timeout和wait_timeout都是默认值28880。
在一个交互式连接中,用以下语句设置interactive_timeout值:
set global interactive_timeout = 28805;
此时wait_timeout还是28880(因为wait_timeout引用interactive_timeout值的时间节点已经过去了),当新建一个交互式连接后,wait_timeout的值就变成了28805了:
show session variables like '%timeout%';
详细内容可以查看MySQL官方文档以及MySQL中 timeout相关参数解析、mysql timeout调研与实测
3.4. MySQL变量
这里说一说一个概念,在MySQL中存在global变量和session变量,比如wait_timeout,在global变量和session变量都存在(也有些变量只存在global变量中):
session变量是指该变量仅对这一次连接有效,global变量则是对所有连接均有效。
当每个连接建立时,其session变量来自相应的global变量。
当MySQL服务重启时,global变量也会失效,从MySQL配置文件中读取默认值或者设置值。
我们常用的查询、设置变量的语句,在不加上global关键词时,默认查询和设置的都是session变量,以下两个语句是等价的:
show session variables like '%timeout%';
show variables like '%timeout%';
如果要查询global变量,加上global关键字即可:
show global variables like '%timeout%';
所以在上文中设置了global interactive_timeout值后的过程是这样的:
设置global interactive_timeout,重新交互式建立连接,此时session interactive_timeout的值来自设置的global interactive_timeout的值(28805)。此时session wait_timeout的值也来自global wait_timeout的值(28800)。然后在连接的建立过程中session wait_timeout引用了session interactive_timeout,于是就变成了28805。
4. 测评项c
c)当进行远程管理时,应采取必要措施防止鉴别信息在网络传输过程中被窃听;
MySQL自己支持使用ssl协议对连接进行加密,相关的参数有have_openssl、have_ssl:
这里的have_openssl变量如果按照官网的手册里的说法,应该是have_ssl变量的别名:
其内容如下:
为YES则代表数据库支持SSL连接(但并不代表强制要求客户端使用ssl协议,此时它仍然允许未加密的连接)
如果某连接使用到了SLL,在Mysql.exe中,使用status可以看到相关信息(这里没使用):
同时SSL_CIPHER变量中会存在值:
使用SSL,需要运行mysql_ssl_rsa_setup,生成以下文件:
此时,相关变量如下:
可以强制某用户必须使用ssl进行连接:
也可以强制服务器端只接受ssl的连接:
5. 测评项d
d)应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别,且其中一种鉴别技术至少应使用密码技术来实现。
对于双因素本身的探讨在这里就不进行重复的论述了,可以看我以前文章中该测评项的内容:等保测评2.0:Windows身份鉴别、等保测评2.0:SQLServer身份鉴别(下) 。
对于MySQL本身,可以要求客户端必须提供ca.pem、client-cert.pem、client-key.pem文件才能够连接成功:
通过对用户进行设置:
ALTER USER 'remote_user'@'mysql_client_IP' REQUIRE X509;
此时如果直接使用用户名、口令去连接,会出错:
mysql -u remote_user -p -h mysql_server_IP
ERROR 1045 (28000): Access denied for user 'remote_user'@'mysql_client_IP' (using password: YES)
此时需要在客户端连接时指定相关文件:
mysql -u remote_user -p -h mysql_server_IP --ssl-ca=~/client-ssl/ca.pem --ssl-cert=~/client-ssl/client-cert.pem --ssl-key=~
具体内容可以查看:Mysql启动ssl连接
这种应该也算是使用双因素进行身份认证,至于如果使用堡垒机的方式对数据库进行管理,然后堡垒机使用双因素认证等,只能用来修正双因素的高风险而已。
*本文原创作者:起于凡而非于凡 ,本文属于FreeBuf原创奖励计划,未经许可禁止转
来源:freebuf.com 2020-03-17 09:30:40 by: 起于凡而非于凡
请登录后发表评论
注册