Öruggt MariaDB með SSL stuðningi á Ubuntu 16.04

Kröfur

Skref 1: Settu upp MariaDB

Skref 2: Búðu til SSL vottorð og einkalykil fyrir netþjóninn

Skref 3: Stilltu MariaDB Server til að nota SSL

Skref 4: Búðu til notanda með SSL réttindi

Skref 5: Búðu til viðskiptavinavottorð

Skref 6: Stilltu MariaDB viðskiptavin til að nota SSL

Skref 7: Staðfestu fjartengingar

Niðurstaða

MariaDB er ókeypis opinn uppspretta gagnagrunnur og er mest notaði drop-in í staðin fyrir MySQL. Það er gert af hönnuðum MySQL og ætlað að vera ókeypis undir GNU GPL. Það er mjög hratt, stigstærð og kemur með mikið sett af eiginleikum sem gera það mjög fjölhæft fyrir margs konar notkunartilvik.

Þessi kennsla mun leiða þig í gegnum hvernig á að setja upp og stilla MariaDB með SSL stuðningi á Ubuntu 16.04.

Kröfur

• Nýtt Ubuntu 16.04 Vultr dæmi.
• Notandi sem ekki er rót með sudo réttindi.
• Stöðugt IP-tala 192.168.0.190 er stillt á netþjónstilvikinu.
• Stöðugt IP-tala 192.168.0.191 er stillt á biðlaravélinni.

Skref 1: Settu upp MariaDB

Sjálfgefið er að nýjasta útgáfan af MariaDB er ekki fáanleg í Ubuntu 16.04 geymslunni; svo þú þarft að bæta MariaDB geymslunni við kerfið þitt.

Fyrst skaltu hlaða niður lyklinum með eftirfarandi skipun:

sudo apt-key adv --recv-keys --keyserver hkp://keyserver.ubuntu.com:80 0xF1656F24C74CD1D8

Næst skaltu bæta MariaDB geymslunni við /etc/apt/sources.listskrána:

sudo echo "deb [arch=amd64,i386,ppc64el] http://ftp.utexas.edu/mariadb/repo/10.1/ubuntu xenial main" >> /etc/apt/sources.list

Uppfærðu apt index með eftirfarandi skipun:

sudo apt-get update -y

Þegar apt index hefur verið uppfært skaltu setja upp MariaDB netþjóninn með eftirfarandi skipun:

sudo apt-get install mariadb-server -y

Ræstu MariaDB netþjóninn og gerðu það kleift að byrja á ræsitíma:

sudo systemctl start mysql
sudo systemctl enable mysql

Næst þarftu að keyra mysql_secure_installationhandrit til að tryggja MariaDB uppsetningu. Þetta handrit gerir þér kleift að stilla rótarlykilorðið, fjarlægja nafnlausa notendur, banna ytri rótinnskráningu og fjarlægja prófunargagnagrunninn:

sudo mysql_secure_installation

Skref 2: Búðu til SSL vottorð og einkalykil fyrir netþjóninn

Fyrst skaltu búa til möppu til að geyma allar lykil- og vottorðaskrárnar.

sudo mkdir /etc/mysql-ssl

Næst skaltu breyta möppunni í /etc/mysql-sslog búa til CA vottorðið og einkalykilinn með eftirfarandi skipun:

sudo cd /etc/mysql-ssl
sudo openssl genrsa 2048 > ca-key.pem
sudo openssl req -new -x509 -nodes -days 365000 -key ca-key.pem -out ca-cert.pem

Svaraðu öllum spurningunum eins og sýnt er hér að neðan:

You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [AU]:IN
State or Province Name (full name) [Some-State]:GUJ
Locality Name (eg, city) []:JND
Organization Name (eg, company) [Internet Widgits Pty Ltd]:ENJ
Organizational Unit Name (eg, section) []:SYSTEM
Common Name (e.g. server FQDN or YOUR name) []:HITESH
Email Address []:example@example.com

Næst skaltu búa til einkalykil fyrir netþjóninn með eftirfarandi skipun:

sudo openssl req -newkey rsa:2048 -days 365 -nodes -keyout server-key.pem -out server-req.pem

Svaraðu öllum spurningunum eins og þú gerðir í fyrri skipuninni.

Næst skaltu flytja út einkalykil þjónsins yfir á RSA-lykil með eftirfarandi skipun:

sudo sudo openssl rsa -in server-key.pem -out server-key.pem

Að lokum skaltu búa til netþjónsvottorð með því að nota CA vottorðið sem hér segir:

sudo openssl x509 -req -in server-req.pem -days 365 -CA ca-cert.pem -CAkey ca-key.pem -set_serial 01 -out server-cert.pem

Þú getur nú séð öll skírteinin og lykilinn með eftirfarandi skipun:

ls

Þú ættir að sjá eftirfarandi úttak:

ca-cert.pem  ca-key.pem  server-cert.pem  server-key.pem  server-req.pem

Þegar þú ert búinn geturðu haldið áfram í næsta skref.

Skref 3: Stilltu MariaDB Server til að nota SSL

Þú ættir að hafa öll skilríkin og einkalykil; og nú þarftu að stilla MariaDB til að nota lykilinn og vottorðin. Þú getur gert þetta með því að breyta /etc/mysql/mariadb.conf.d/50-server.cnfskránni:

sudo nano /etc/mysql/mariadb.conf.d/50-server.cnf

Bættu við eftirfarandi línum undir [mysqld]hlutanum:

ssl-ca=/etc/mysql-ssl/ca-cert.pem
ssl-cert=/etc/mysql-ssl/server-cert.pem
ssl-key=/etc/mysql-ssl/server-key.pem

##Change this value to connect the MariaDB server from another host.
bind-address = *

Vistaðu skrána og endurræstu síðan MariaDB þjónustuna til að beita þessum breytingum:

sudo systemctl restart mysql

Nú geturðu athugað hvort SSL stillingin virki eða ekki með eftirfarandi fyrirspurn:

mysql -u root -p
MariaDB [(none)]> SHOW VARIABLES LIKE '%ssl%';

Ef uppsetningin tókst, ættir þú að sjá eftirfarandi úttak:

+---------------+--------------------------------+
| Variable_name | Value                          |
+---------------+--------------------------------+
| have_openssl  | YES                            |
| have_ssl      | YES                            |
| ssl_ca        | /etc/mysql-ssl/ca-cert.pem     |
| ssl_capath    |                                |
| ssl_cert      | /etc/mysql-ssl/server-cert.pem |
| ssl_cipher    |                                |
| ssl_crl       |                                |
| ssl_crlpath   |                                |
| ssl_key       | /etc/mysql-ssl/server-key.pem  |
+---------------+--------------------------------+

Þú ættir að taka eftir því að have_sslog have_opensslgildin eru virkjuð í úttakinu hér að ofan.

Skref 4: Búðu til notanda með SSL réttindi

Búðu til ytri notanda sem hefur forréttindi til að fá aðgang að MariaDB netþjóninum yfir SSL. Gerðu þetta með því að keyra eftirfarandi skipun:

Fyrst skaltu skrá þig inn í MySQL skelina:

mysql -u root -p

Næst skaltu búa til notanda remoteog veita forréttindi til að fá aðgang að þjóninum yfir SSL.

MariaDB [(none)]>GRANT ALL PRIVILEGES ON *.* TO 'remote'@'192.168.0.191' IDENTIFIED BY 'password' REQUIRE SSL;

Skolaðu síðan réttindin með eftirfarandi skipun:

MariaDB [(none)]>FLUSH PRIVILEGES;

Að lokum skaltu hætta úr MySQL skelinni með eftirfarandi skipun:

MariaDB [(none)]>exit;

Athugið: 192.168.0.191 er IP-tala fjarnotenda (viðskiptavinur) vélarinnar.

Miðlarinn þinn er nú tilbúinn til að leyfa tengingar við ytri notanda.

Skref 5: Búðu til viðskiptavinavottorð

Stillingar miðlarans þíns er lokið. Næst þarftu að búa til nýjan lykil og vottorð fyrir viðskiptavininn.

Á miðlaravélinni, búðu til biðlaralykilinn með eftirfarandi skipun:

sudo cd /etc/mysql-ssl
sudo sudo openssl req -newkey rsa:2048 -days 365 -nodes -keyout client-key.pem -out client-req.pem

Næst skaltu vinna úr RSA lykil viðskiptavinarins með eftirfarandi skipun:

sudo openssl rsa -in client-key.pem -out client-key.pem

Að lokum, undirritaðu viðskiptavinavottorðið með eftirfarandi skipun:

sudo openssl x509 -req -in client-req.pem -days 365 -CA ca-cert.pem -CAkey ca-key.pem -set_serial 01 -out client-cert.pem

Skref 6: Stilltu MariaDB viðskiptavin til að nota SSL

Öll vottorð og lykill eru tilbúin fyrir viðskiptavininn. Næst þarftu að afrita öll biðlaraskírteini á hvaða biðlaravél sem þú vilt keyra MariaDB biðlarann.

Þú þarft að setja upp MariaDB biðlarann ​​á biðlaravélinni.

Fyrst skaltu hlaða niður lykilnum fyrir MariaDB á biðlaravélinni með eftirfarandi skipun:

sudo apt-key adv --recv-keys --keyserver hkp://keyserver.ubuntu.com:80 0xF1656F24C74CD1D8

Bættu síðan MariaDB geymslunni við /etc/apt/sources.listskrána:

sudo echo "deb [arch=amd64,i386,ppc64el] http://ftp.utexas.edu/mariadb/repo/10.1/ubuntu xenial main" >> /etc/apt/sources.list

Næst skaltu uppfæra apt index með eftirfarandi skipun:

sudo apt-get update -y

Þegar apt index hefur verið uppfært skaltu setja upp MariaDB biðlarann ​​á biðlaravélinni með eftirfarandi skipun:

sudo apt-get install mariadb-client -y

Búðu til möppu til að geyma öll skírteinin:

sudo mkdir /etc/mysql-ssl

Næst skaltu afrita öll biðlaravottorð frá miðlaravélinni yfir í biðlaravélina með eftirfarandi skipun:

sudo scp root@192.168.0.190:/etc/mysql-ssl/client-* /etc/mysql-ssl/

Síðan þarftu að stilla MariaDB viðskiptavininn til að nota SSL. Þú getur gert þetta með því að búa til /etc/mysql/mariadb.conf.d/50-mysql-clients.cnfskrá:

sudo nano /etc/mysql/mariadb.conf.d/50-mysql-clients.cnf

Bættu við eftirfarandi línum:

[client]
ssl-ca=/etc/mysql-ssl/ca-cert.pem
ssl-cert=/etc/mysql-ssl/client-cert.pem
ssl-key=/etc/mysql-ssl/client-key.pem

Vistaðu skrána þegar þú ert búinn.

Skref 7: Staðfestu fjartengingar

Nú þegar allt er stillt er kominn tími til að staðfesta hvort þú getir tengst MariaDB netþjóninum með góðum árangri eða ekki.

Á biðlaravélinni skaltu keyra eftirfarandi skipun til að tengjast MariaDB þjóninum:

mysql -u remote -h 192.168.0.190 -p mysql

Þú verður beðinn um að slá inn remotelykilorð notanda. Eftir að hafa gefið upp lykilorðið verðurðu skráður inn á ytri MariaDB netþjóninn.

Athugaðu stöðu tengingarinnar með eftirfarandi skipun:

MariaDB [mysql]> status

Þú ættir að sjá eftirfarandi úttak:

--------------
mysql  Ver 15.1 Distrib 10.2.7-MariaDB, for debian-linux-gnu (x86_64) using readline 5.2

Connection id:      62
Current database:   mysql
Current user:       remote@192.168.0.191
SSL:            Cipher in use is DHE-RSA-AES256-SHA
Current pager:      stdout
Using outfile:      ''
Using delimiter:    ;
Server:         MariaDB
Server version:     10.0.31-MariaDB-0ubuntu0.16.04.2 Ubuntu 16.04
Protocol version:   10
Connection:     192.168.0.190 via TCP/IP
Server characterset:    utf8mb4
Db     characterset:    utf8mb4
Client characterset:    utf8
Conn.  characterset:    utf8
TCP port:       3306
Uptime:         1 hours 31 min 31 sec

Þú ættir að sjá SSL: Cipher in use is DHE-RSA-AES256-SHAí úttakinu hér að ofan. Það þýðir að tengingin þín er nú örugg með SSL.

Niðurstaða

Til hamingju! Þú hefur stillt MariaDB netþjón með SSL stuðningi. Þú getur nú veitt öðrum viðskiptavinum aðgang að MariaDB netþjóninum yfir SSL.