Apsaugokite MariaDB su SSL palaikymu Ubuntu 16.04

MariaDB yra nemokama atvirojo kodo duomenų bazė ir yra plačiausiai naudojamas „MySQL“ pakaitalas. Jį sukūrė „MySQL“ kūrėjai ir ketinama likti nemokama pagal GNU GPL. Jis yra labai greitas, keičiamo dydžio ir turi daugybę funkcijų, todėl jis yra labai universalus įvairiems naudojimo atvejams.

Šioje pamokoje sužinosite, kaip įdiegti ir konfigūruoti MariaDB su SSL palaikymu Ubuntu 16.04.

Reikalavimai

• Naujas Ubuntu 16.04 Vultr egzempliorius.
• Ne root vartotojas, turintis sudo privilegijas.
• Serverio egzemplioriuje sukonfigūruotas statinis IP adresas 192.168.0.190.
• Kliento įrenginyje sukonfigūruotas statinis IP adresas 192.168.0.191.

1 veiksmas: įdiekite MariaDB

Pagal numatytuosius nustatymus naujausia MariaDB versija nepasiekiama Ubuntu 16.04 saugykloje; todėl prie sistemos turėsite pridėti MariaDB saugyklą.

Pirmiausia atsisiųskite raktą naudodami šią komandą:

sudo apt-key adv --recv-keys --keyserver hkp://keyserver.ubuntu.com:80 0xF1656F24C74CD1D8

Tada prie /etc/apt/sources.listfailo pridėkite MariaDB saugyklą :

sudo echo "deb [arch=amd64,i386,ppc64el] http://ftp.utexas.edu/mariadb/repo/10.1/ubuntu xenial main" >> /etc/apt/sources.list

Atnaujinkite apt indeksą naudodami šią komandą:

sudo apt-get update -y

Kai apt indeksas bus atnaujintas, įdiekite MariaDB serverį naudodami šią komandą:

sudo apt-get install mariadb-server -y

Paleiskite MariaDB serverį ir įgalinkite jį paleisti įkrovos metu:

sudo systemctl start mysql
sudo systemctl enable mysql

Tada turėsite paleisti mysql_secure_installationscenarijų, kad apsaugotumėte MariaDB diegimą. Šis scenarijus leidžia nustatyti pagrindinį slaptažodį, pašalinti anoniminius vartotojus, neleisti nuotolinio root prisijungimo ir pašalinti bandomąją duomenų bazę:

sudo mysql_secure_installation

2 veiksmas: sukurkite SSL sertifikatą ir privatų serverio raktą

Pirmiausia sukurkite katalogą, kuriame būtų saugomi visi raktų ir sertifikatų failai.

sudo mkdir /etc/mysql-ssl

Tada pakeiskite katalogą į /etc/mysql-sslir sukurkite CA sertifikatą bei privatųjį raktą naudodami šią komandą:

sudo cd /etc/mysql-ssl
sudo openssl genrsa 2048 > ca-key.pem
sudo openssl req -new -x509 -nodes -days 365000 -key ca-key.pem -out ca-cert.pem

Atsakykite į visus klausimus, kaip parodyta žemiau:

You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [AU]:IN
State or Province Name (full name) [Some-State]:GUJ
Locality Name (eg, city) []:JND
Organization Name (eg, company) [Internet Widgits Pty Ltd]:ENJ
Organizational Unit Name (eg, section) []:SYSTEM
Common Name (e.g. server FQDN or YOUR name) []:HITESH
Email Address []:[email protected]

Tada sukurkite privatų serverio raktą naudodami šią komandą:

sudo openssl req -newkey rsa:2048 -days 365 -nodes -keyout server-key.pem -out server-req.pem

Atsakykite į visus klausimus, kaip ir ankstesnėje komandoje.

Tada eksportuokite serverio privatų raktą į RSA tipo raktą naudodami šią komandą:

sudo sudo openssl rsa -in server-key.pem -out server-key.pem

Galiausiai sugeneruokite serverio sertifikatą naudodami CA sertifikatą taip:

sudo openssl x509 -req -in server-req.pem -days 365 -CA ca-cert.pem -CAkey ca-key.pem -set_serial 01 -out server-cert.pem

Dabar galite pamatyti visus sertifikatus ir raktą naudodami šią komandą:

ls

Turėtumėte pamatyti šią išvestį:

ca-cert.pem  ca-key.pem  server-cert.pem  server-key.pem  server-req.pem

Baigę galite pereiti prie kito veiksmo.

3 veiksmas: sukonfigūruokite MariaDB serverį, kad galėtumėte naudoti SSL

Turėtumėte turėti visus sertifikatus ir privatų raktą; ir dabar turėsite sukonfigūruoti MariaDB, kad galėtumėte naudoti raktą ir sertifikatus. Tai galite padaryti redaguodami /etc/mysql/mariadb.conf.d/50-server.cnffailą:

sudo nano /etc/mysql/mariadb.conf.d/50-server.cnf

Po [mysqld]skyriumi pridėkite šias eilutes :

ssl-ca=/etc/mysql-ssl/ca-cert.pem
ssl-cert=/etc/mysql-ssl/server-cert.pem
ssl-key=/etc/mysql-ssl/server-key.pem

##Change this value to connect the MariaDB server from another host.
bind-address = *

Išsaugokite failą, tada iš naujo paleiskite „MariaDB“ paslaugą, kad pritaikytumėte šiuos pakeitimus:

sudo systemctl restart mysql

Dabar galite patikrinti, ar SSL konfigūracija veikia, ar ne, naudodami šią užklausą:

mysql -u root -p
MariaDB [(none)]> SHOW VARIABLES LIKE '%ssl%';

Jei konfigūracija buvo sėkminga, turėtumėte pamatyti šią išvestį:

+---------------+--------------------------------+
| Variable_name | Value                          |
+---------------+--------------------------------+
| have_openssl  | YES                            |
| have_ssl      | YES                            |
| ssl_ca        | /etc/mysql-ssl/ca-cert.pem     |
| ssl_capath    |                                |
| ssl_cert      | /etc/mysql-ssl/server-cert.pem |
| ssl_cipher    |                                |
| ssl_crl       |                                |
| ssl_crlpath   |                                |
| ssl_key       | /etc/mysql-ssl/server-key.pem  |
+---------------+--------------------------------+

Turėtumėte pastebėti, kad have_sslir have_opensslreikšmės yra įjungtos aukščiau pateiktame išvestyje.

4 veiksmas: sukurkite vartotoją su SSL privilegijomis

Sukurkite nuotolinį vartotoją, turintį teisę pasiekti MariaDB serverį per SSL. Atlikite tai vykdydami šią komandą:

Pirmiausia prisijunkite prie MySQL apvalkalo:

mysql -u root -p

Tada sukurkite vartotoją remoteir suteikite prieigą prie serverio per SSL.

MariaDB [(none)]>GRANT ALL PRIVILEGES ON *.* TO 'remote'@'192.168.0.191' IDENTIFIED BY 'password' REQUIRE SSL;

Tada praplaukite teises naudodami šią komandą:

MariaDB [(none)]>FLUSH PRIVILEGES;

Galiausiai išeikite iš MySQL apvalkalo naudodami šią komandą:

MariaDB [(none)]>exit;

Pastaba: 192.168.0.191 yra nuotolinio vartotojo (kliento) įrenginio IP adresas.

Jūsų serveris dabar paruoštas leisti prisijungti prie nuotolinio vartotojo.

5 veiksmas: sukurkite kliento sertifikatą

Jūsų serverio pusės konfigūracija baigta. Tada turėsite sukurti naują kliento raktą ir sertifikatą.

Serverio įrenginyje sukurkite kliento raktą naudodami šią komandą:

sudo cd /etc/mysql-ssl
sudo sudo openssl req -newkey rsa:2048 -days 365 -nodes -keyout client-key.pem -out client-req.pem

Tada apdorokite kliento RSA raktą naudodami šią komandą:

sudo openssl rsa -in client-key.pem -out client-key.pem

Galiausiai pasirašykite kliento sertifikatą naudodami šią komandą:

sudo openssl x509 -req -in client-req.pem -days 365 -CA ca-cert.pem -CAkey ca-key.pem -set_serial 01 -out client-cert.pem

6 veiksmas: sukonfigūruokite „MariaDB“ klientą naudoti SSL

Visi sertifikatai ir raktas yra paruošti klientui. Tada turėsite nukopijuoti visus kliento sertifikatus į bet kurį kliento įrenginį, kuriame norite paleisti MariaDB klientą.

Kliento kompiuteryje turėsite įdiegti „MariaDB“ klientą.

Pirmiausia kliento kompiuteryje atsisiųskite MariaDB raktą naudodami šią komandą:

sudo apt-key adv --recv-keys --keyserver hkp://keyserver.ubuntu.com:80 0xF1656F24C74CD1D8

Tada pridėkite MariaDB saugyklą prie /etc/apt/sources.listfailo:

sudo echo "deb [arch=amd64,i386,ppc64el] http://ftp.utexas.edu/mariadb/repo/10.1/ubuntu xenial main" >> /etc/apt/sources.list

Tada atnaujinkite apt indeksą naudodami šią komandą:

sudo apt-get update -y

Kai apt indeksas bus atnaujintas, įdiekite MariaDB klientą kliento kompiuteryje naudodami šią komandą:

sudo apt-get install mariadb-client -y

Dabar sukurkite katalogą, kuriame saugomi visi sertifikatai:

sudo mkdir /etc/mysql-ssl

Tada nukopijuokite visus kliento sertifikatus iš serverio įrenginio į kliento įrenginį naudodami šią komandą:

sudo scp [email protected]:/etc/mysql-ssl/client-* /etc/mysql-ssl/

Tada turėsite sukonfigūruoti MariaDB klientą, kad jis naudotų SSL. Tai galite padaryti sukurdami /etc/mysql/mariadb.conf.d/50-mysql-clients.cnffailą:

sudo nano /etc/mysql/mariadb.conf.d/50-mysql-clients.cnf

Pridėkite šias eilutes:

[client]
ssl-ca=/etc/mysql-ssl/ca-cert.pem
ssl-cert=/etc/mysql-ssl/client-cert.pem
ssl-key=/etc/mysql-ssl/client-key.pem

Baigę išsaugokite failą.

7 veiksmas: patikrinkite nuotolinius ryšius

Dabar, kai viskas sukonfigūruota, laikas patikrinti, ar galite sėkmingai prisijungti prie MariaDB serverio, ar ne.

Kliento kompiuteryje paleiskite šią komandą, kad prisijungtumėte prie MariaDB serverio:

mysql -u remote -h 192.168.0.190 -p mysql

Jūsų bus paprašyta įvesti remotevartotojo slaptažodį. Įvedę slaptažodį, būsite prisijungę prie nuotolinio MariaDB serverio.

Patikrinkite ryšio būseną naudodami šią komandą:

MariaDB [mysql]> status

Turėtumėte pamatyti šią išvestį:

--------------
mysql  Ver 15.1 Distrib 10.2.7-MariaDB, for debian-linux-gnu (x86_64) using readline 5.2

Connection id:      62
Current database:   mysql
Current user:       [email protected]
SSL:            Cipher in use is DHE-RSA-AES256-SHA
Current pager:      stdout
Using outfile:      ''
Using delimiter:    ;
Server:         MariaDB
Server version:     10.0.31-MariaDB-0ubuntu0.16.04.2 Ubuntu 16.04
Protocol version:   10
Connection:     192.168.0.190 via TCP/IP
Server characterset:    utf8mb4
Db     characterset:    utf8mb4
Client characterset:    utf8
Conn.  characterset:    utf8
TCP port:       3306
Uptime:         1 hours 31 min 31 sec

Turėtumėte pamatyti SSL: Cipher in use is DHE-RSA-AES256-SHAaukščiau pateiktoje išvestyje. Tai reiškia, kad jūsų ryšys dabar yra saugus naudojant SSL.

Išvada

Sveikiname! Sėkmingai sukonfigūravote MariaDB serverį su SSL palaikymu. Dabar galite suteikti prieigą kitiems klientams pasiekti MariaDB serverį per SSL.