Suojaa MariaDB SSL-tuella Ubuntu 16.04:ssä

MariaDB on ilmainen avoimen lähdekoodin tietokanta, ja se on laajimmin käytetty korvike MySQL:lle. Sen ovat kehittäneet MySQL:n kehittäjät ja sen on tarkoitus pysyä ilmaiseksi GNU GPL:n alla. Se on erittäin nopea, skaalautuva, ja siinä on runsaasti ominaisuuksia, jotka tekevät siitä erittäin monipuolisen monenlaisiin käyttötapauksiin.

Tämä opetusohjelma opastaa sinua MariaDB:n asentamisessa ja määrittämisessä SSL-tuella Ubuntu 16.04:ssä.

Vaatimukset

• Uusi Ubuntu 16.04 Vultr -esiintymä.
• Ei-root-käyttäjä, jolla on sudo-oikeudet.
• Staattinen IP-osoite 192.168.0.190 on määritetty palvelinesiintymään.
• Staattinen IP-osoite 192.168.0.191 on määritetty asiakaskoneeseen.

Vaihe 1: Asenna MariaDB

Oletuksena MariaDB:n uusin versio ei ole saatavilla Ubuntu 16.04 -tietovarastosta; joten sinun on lisättävä MariaDB-arkisto järjestelmääsi.

Lataa ensin avain seuraavalla komennolla:

sudo apt-key adv --recv-keys --keyserver hkp://keyserver.ubuntu.com:80 0xF1656F24C74CD1D8

Lisää seuraavaksi MariaDB-arkisto /etc/apt/sources.listtiedostoon:

sudo echo "deb [arch=amd64,i386,ppc64el] http://ftp.utexas.edu/mariadb/repo/10.1/ubuntu xenial main" >> /etc/apt/sources.list

Päivitä apt-indeksi seuraavalla komennolla:

sudo apt-get update -y

Kun apt-indeksi on päivitetty, asenna MariaDB-palvelin seuraavalla komennolla:

sudo apt-get install mariadb-server -y

Käynnistä MariaDB-palvelin ja ota se käyttöön käynnistyksen yhteydessä:

sudo systemctl start mysql
sudo systemctl enable mysql

Seuraavaksi sinun on suoritettava mysql_secure_installationkomentosarja MariaDB-asennuksen turvaamiseksi. Tämän skriptin avulla voit asettaa pääkäyttäjän salasanan, poistaa anonyymejä käyttäjiä, estää etäpääkirjautumisen ja poistaa testitietokannan:

sudo mysql_secure_installation

Vaihe 2: Luo palvelimelle SSL-varmenne ja yksityinen avain

Luo ensin hakemisto kaikille avain- ja varmennetiedostoille.

sudo mkdir /etc/mysql-ssl

Muuta seuraavaksi hakemistoksi /etc/mysql-sslja luo CA-varmenne ja yksityinen avain seuraavalla komennolla:

sudo cd /etc/mysql-ssl
sudo openssl genrsa 2048 > ca-key.pem
sudo openssl req -new -x509 -nodes -days 365000 -key ca-key.pem -out ca-cert.pem

Vastaa kaikkiin kysymyksiin alla olevan kuvan mukaisesti:

You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [AU]:IN
State or Province Name (full name) [Some-State]:GUJ
Locality Name (eg, city) []:JND
Organization Name (eg, company) [Internet Widgits Pty Ltd]:ENJ
Organizational Unit Name (eg, section) []:SYSTEM
Common Name (e.g. server FQDN or YOUR name) []:HITESH
Email Address []:[email protected]

Luo seuraavaksi palvelimelle yksityinen avain seuraavalla komennolla:

sudo openssl req -newkey rsa:2048 -days 365 -nodes -keyout server-key.pem -out server-req.pem

Vastaa kaikkiin kysymyksiin kuten edellisessä komennossa.

Vie seuraavaksi palvelimen yksityinen avain RSA-tyyppiseen avaimeen seuraavalla komennolla:

sudo sudo openssl rsa -in server-key.pem -out server-key.pem

Luo lopuksi palvelinvarmenne CA-varmenteen avulla seuraavasti:

sudo openssl x509 -req -in server-req.pem -days 365 -CA ca-cert.pem -CAkey ca-key.pem -set_serial 01 -out server-cert.pem

Voit nyt nähdä kaikki varmenteet ja avaimen seuraavalla komennolla:

ls

Sinun pitäisi nähdä seuraava tulos:

ca-cert.pem  ca-key.pem  server-cert.pem  server-key.pem  server-req.pem

Kun olet valmis, voit siirtyä seuraavaan vaiheeseen.

Vaihe 3: Määritä MariaDB-palvelin käyttämään SSL:ää

Sinulla pitäisi olla kaikki varmenteet ja yksityinen avain; ja nyt sinun on määritettävä MariaDB käyttämään avainta ja varmenteita. Voit tehdä tämän muokkaamalla /etc/mysql/mariadb.conf.d/50-server.cnftiedostoa:

sudo nano /etc/mysql/mariadb.conf.d/50-server.cnf

Lisää seuraavat rivit [mysqld]osion alle :

ssl-ca=/etc/mysql-ssl/ca-cert.pem
ssl-cert=/etc/mysql-ssl/server-cert.pem
ssl-key=/etc/mysql-ssl/server-key.pem

##Change this value to connect the MariaDB server from another host.
bind-address = *

Tallenna tiedosto ja käynnistä MariaDB-palvelu uudelleen ottaaksesi nämä muutokset käyttöön:

sudo systemctl restart mysql

Nyt voit tarkistaa, toimiiko SSL-kokoonpano vai ei seuraavalla kyselyllä:

mysql -u root -p
MariaDB [(none)]> SHOW VARIABLES LIKE '%ssl%';

Jos määritys onnistui, sinun pitäisi nähdä seuraava tulos:

+---------------+--------------------------------+
| Variable_name | Value                          |
+---------------+--------------------------------+
| have_openssl  | YES                            |
| have_ssl      | YES                            |
| ssl_ca        | /etc/mysql-ssl/ca-cert.pem     |
| ssl_capath    |                                |
| ssl_cert      | /etc/mysql-ssl/server-cert.pem |
| ssl_cipher    |                                |
| ssl_crl       |                                |
| ssl_crlpath   |                                |
| ssl_key       | /etc/mysql-ssl/server-key.pem  |
+---------------+--------------------------------+

Huomaa, että have_sslja have_opensslarvot ovat käytössä yllä olevassa lähdössä.

Vaihe 4: Luo käyttäjä, jolla on SSL-oikeudet

Luo etäkäyttäjä, jolla on oikeudet käyttää MariaDB-palvelinta SSL:n kautta. Tee tämä suorittamalla seuraava komento:

Kirjaudu ensin MySQL-kuoreen:

mysql -u root -p

Luo seuraavaksi käyttäjä remoteja myönnä palvelimen käyttöoikeudet SSL:n kautta.

MariaDB [(none)]>GRANT ALL PRIVILEGES ON *.* TO 'remote'@'192.168.0.191' IDENTIFIED BY 'password' REQUIRE SSL;

Huuhtele sitten oikeudet seuraavalla komennolla:

MariaDB [(none)]>FLUSH PRIVILEGES;

Lopuksi poistu MySQL-kuoresta seuraavalla komennolla:

MariaDB [(none)]>exit;

Huomautus: 192.168.0.191 on etäkäyttäjän (asiakaskoneen) IP-osoite.

Palvelimesi on nyt valmis sallimaan yhteydet etäkäyttäjään.

Vaihe 5: Luo asiakasvarmenne

Palvelinpuolen määritys on valmis. Seuraavaksi sinun on luotava asiakkaalle uusi avain ja varmenne.

Luo asiakasavain palvelinkoneelle seuraavalla komennolla:

sudo cd /etc/mysql-ssl
sudo sudo openssl req -newkey rsa:2048 -days 365 -nodes -keyout client-key.pem -out client-req.pem

Seuraavaksi käsittele asiakkaan RSA-avain seuraavalla komennolla:

sudo openssl rsa -in client-key.pem -out client-key.pem

Lopuksi allekirjoita asiakassertifikaatti seuraavalla komennolla:

sudo openssl x509 -req -in client-req.pem -days 365 -CA ca-cert.pem -CAkey ca-key.pem -set_serial 01 -out client-cert.pem

Vaihe 6: Määritä MariaDB-asiakas käyttämään SSL:ää

Kaikki sertifikaatit ja avain ovat valmiina asiakkaalle. Seuraavaksi sinun on kopioitava kaikki asiakassertifikaatit mille tahansa asiakaskoneelle, jolla haluat käyttää MariaDB-asiakasta.

Sinun on asennettava MariaDB-asiakas asiakaskoneelle.

Lataa ensin asiakaskoneelle MariaDB:n avain seuraavalla komennolla:

sudo apt-key adv --recv-keys --keyserver hkp://keyserver.ubuntu.com:80 0xF1656F24C74CD1D8

Lisää sitten MariaDB-arkisto /etc/apt/sources.listtiedostoon:

sudo echo "deb [arch=amd64,i386,ppc64el] http://ftp.utexas.edu/mariadb/repo/10.1/ubuntu xenial main" >> /etc/apt/sources.list

Päivitä seuraavaksi apt-indeksi seuraavalla komennolla:

sudo apt-get update -y

Kun apt-indeksi on päivitetty, asenna MariaDB-asiakas asiakaskoneeseen seuraavalla komennolla:

sudo apt-get install mariadb-client -y

Luo nyt hakemisto kaikkien sertifikaattien tallentamiseen:

sudo mkdir /etc/mysql-ssl

Kopioi seuraavaksi kaikki asiakassertifikaatit palvelinkoneelta asiakaskoneelle seuraavalla komennolla:

sudo scp [email protected]:/etc/mysql-ssl/client-* /etc/mysql-ssl/

Sitten sinun on määritettävä MariaDB-asiakas käyttämään SSL:ää. Voit tehdä tämän luomalla /etc/mysql/mariadb.conf.d/50-mysql-clients.cnftiedoston:

sudo nano /etc/mysql/mariadb.conf.d/50-mysql-clients.cnf

Lisää seuraavat rivit:

[client]
ssl-ca=/etc/mysql-ssl/ca-cert.pem
ssl-cert=/etc/mysql-ssl/client-cert.pem
ssl-key=/etc/mysql-ssl/client-key.pem

Tallenna tiedosto, kun olet valmis.

Vaihe 7: Tarkista etäyhteydet

Nyt kun kaikki on määritetty, on aika tarkistaa, voitko muodostaa yhteyden MariaDB-palvelimeen onnistuneesti vai et.

Suorita asiakaskoneessa seuraava komento muodostaaksesi yhteyden MariaDB-palvelimeen:

mysql -u remote -h 192.168.0.190 -p mysql

Sinua pyydetään syöttämään remotekäyttäjän salasana. Salasanan antamisen jälkeen kirjaudut MariaDB-etäpalvelimeen.

Tarkista yhteyden tila seuraavalla komennolla:

MariaDB [mysql]> status

Sinun pitäisi nähdä seuraava tulos:

--------------
mysql  Ver 15.1 Distrib 10.2.7-MariaDB, for debian-linux-gnu (x86_64) using readline 5.2

Connection id:      62
Current database:   mysql
Current user:       [email protected]
SSL:            Cipher in use is DHE-RSA-AES256-SHA
Current pager:      stdout
Using outfile:      ''
Using delimiter:    ;
Server:         MariaDB
Server version:     10.0.31-MariaDB-0ubuntu0.16.04.2 Ubuntu 16.04
Protocol version:   10
Connection:     192.168.0.190 via TCP/IP
Server characterset:    utf8mb4
Db     characterset:    utf8mb4
Client characterset:    utf8
Conn.  characterset:    utf8
TCP port:       3306
Uptime:         1 hours 31 min 31 sec

Sinun pitäisi nähdä SSL: Cipher in use is DHE-RSA-AES256-SHAyllä olevassa tulosteessa. Tämä tarkoittaa, että yhteytesi on nyt suojattu SSL:n avulla.

Johtopäätös

Onnittelut! Olet onnistuneesti määrittänyt MariaDB-palvelimen SSL-tuella. Voit nyt myöntää muille asiakkaille pääsyn MariaDB-palvelimeen SSL:n kautta.