Droša MariaDB ar SSL atbalstu Ubuntu 16.04

MariaDB ir bezmaksas atvērtā koda datu bāze, un tā ir visplašāk izmantotā MySQL nomaiņa. To ir izveidojuši MySQL izstrādātāji, un tas ir paredzēts, lai tas paliktu bez maksas saskaņā ar GNU GPL. Tas ir ļoti ātrs, mērogojams, un tam ir bagātīgs funkciju kopums, kas padara to ļoti daudzpusīgu dažādiem lietošanas gadījumiem.

Šī apmācība palīdzēs jums instalēt un konfigurēt MariaDB ar SSL atbalstu Ubuntu 16.04.

Prasības

• Jauna Ubuntu 16.04 Vultr instance.
• Ne-root lietotājs ar sudo privilēģijām.
• Servera instancē ir konfigurēta statiskā IP adrese 192.168.0.190.
• Klienta datorā ir konfigurēta statiskā IP adrese 192.168.0.191.

1. darbība: instalējiet MariaDB

Pēc noklusējuma jaunākā MariaDB versija nav pieejama Ubuntu 16.04 repozitorijā; tāpēc jums būs jāpievieno MariaDB repozitorijs savai sistēmai.

Vispirms lejupielādējiet atslēgu ar šādu komandu:

sudo apt-key adv --recv-keys --keyserver hkp://keyserver.ubuntu.com:80 0xF1656F24C74CD1D8

Pēc tam /etc/apt/sources.listfailam pievienojiet MariaDB repozitoriju :

sudo echo "deb [arch=amd64,i386,ppc64el] http://ftp.utexas.edu/mariadb/repo/10.1/ubuntu xenial main" >> /etc/apt/sources.list

Atjauniniet apt indeksu ar šādu komandu:

sudo apt-get update -y

Kad apt indekss ir atjaunināts, instalējiet MariaDB serveri ar šādu komandu:

sudo apt-get install mariadb-server -y

Palaidiet MariaDB serveri un iespējojiet to sāknēšanas laikā:

sudo systemctl start mysql
sudo systemctl enable mysql

Pēc tam jums būs jāpalaiž mysql_secure_installationskripts, lai nodrošinātu MariaDB instalēšanu. Šis skripts ļauj iestatīt root paroli, noņemt anonīmus lietotājus, aizliegt attālo root pieteikšanos un noņemt testa datu bāzi:

sudo mysql_secure_installation

2. darbība: izveidojiet servera SSL sertifikātu un privāto atslēgu

Vispirms izveidojiet direktoriju, kurā saglabāt visus atslēgu un sertifikātu failus.

sudo mkdir /etc/mysql-ssl

Pēc tam mainiet direktoriju uz /etc/mysql-sslun izveidojiet CA sertifikātu un privāto atslēgu ar šādu komandu:

sudo cd /etc/mysql-ssl
sudo openssl genrsa 2048 > ca-key.pem
sudo openssl req -new -x509 -nodes -days 365000 -key ca-key.pem -out ca-cert.pem

Atbildiet uz visiem jautājumiem, kā parādīts zemāk:

You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [AU]:IN
State or Province Name (full name) [Some-State]:GUJ
Locality Name (eg, city) []:JND
Organization Name (eg, company) [Internet Widgits Pty Ltd]:ENJ
Organizational Unit Name (eg, section) []:SYSTEM
Common Name (e.g. server FQDN or YOUR name) []:HITESH
Email Address []:[email protected]

Pēc tam izveidojiet privāto atslēgu serverim ar šādu komandu:

sudo openssl req -newkey rsa:2048 -days 365 -nodes -keyout server-key.pem -out server-req.pem

Atbildiet uz visiem jautājumiem, kā to darījāt iepriekšējā komandā.

Pēc tam eksportējiet servera privāto atslēgu uz RSA tipa atslēgu ar šādu komandu:

sudo sudo openssl rsa -in server-key.pem -out server-key.pem

Visbeidzot, ģenerējiet servera sertifikātu, izmantojot CA sertifikātu, kā norādīts tālāk.

sudo openssl x509 -req -in server-req.pem -days 365 -CA ca-cert.pem -CAkey ca-key.pem -set_serial 01 -out server-cert.pem

Tagad jūs varat redzēt visus sertifikātus un atslēgu ar šādu komandu:

ls

Jums vajadzētu redzēt šādu izvadi:

ca-cert.pem  ca-key.pem  server-cert.pem  server-key.pem  server-req.pem

Kad esat pabeidzis, varat pāriet uz nākamo darbību.

3. darbība: konfigurējiet MariaDB serveri, lai izmantotu SSL

Jums ir jābūt visiem sertifikātiem un privātajai atslēgai; un tagad jums būs jākonfigurē MariaDB, lai izmantotu atslēgu un sertifikātus. To var izdarīt, rediģējot /etc/mysql/mariadb.conf.d/50-server.cnffailu:

sudo nano /etc/mysql/mariadb.conf.d/50-server.cnf

[mysqld]Sadaļā pievienojiet šādas rindiņas :

ssl-ca=/etc/mysql-ssl/ca-cert.pem
ssl-cert=/etc/mysql-ssl/server-cert.pem
ssl-key=/etc/mysql-ssl/server-key.pem

##Change this value to connect the MariaDB server from another host.
bind-address = *

Saglabājiet failu un pēc tam restartējiet MariaDB pakalpojumu, lai piemērotu šīs izmaiņas:

sudo systemctl restart mysql

Tagad varat pārbaudīt, vai SSL konfigurācija darbojas vai nē, izmantojot šādu vaicājumu:

mysql -u root -p
MariaDB [(none)]> SHOW VARIABLES LIKE '%ssl%';

Ja konfigurācija bija veiksmīga, jums vajadzētu redzēt šādu izvadi:

+---------------+--------------------------------+
| Variable_name | Value                          |
+---------------+--------------------------------+
| have_openssl  | YES                            |
| have_ssl      | YES                            |
| ssl_ca        | /etc/mysql-ssl/ca-cert.pem     |
| ssl_capath    |                                |
| ssl_cert      | /etc/mysql-ssl/server-cert.pem |
| ssl_cipher    |                                |
| ssl_crl       |                                |
| ssl_crlpath   |                                |
| ssl_key       | /etc/mysql-ssl/server-key.pem  |
+---------------+--------------------------------+

Jums vajadzētu pamanīt, ka have_sslun have_opensslvērtības ir iespējotas iepriekš minētajā izvadē.

4. darbība: izveidojiet lietotāju ar SSL privilēģijām

Izveidojiet attālo lietotāju, kuram ir tiesības piekļūt MariaDB serverim, izmantojot SSL. Dariet to, izpildot šādu komandu:

Vispirms piesakieties MySQL čaulā:

mysql -u root -p

Pēc tam izveidojiet lietotāju remoteun piešķiriet privilēģijas, lai piekļūtu serverim, izmantojot SSL.

MariaDB [(none)]>GRANT ALL PRIVILEGES ON *.* TO 'remote'@'192.168.0.191' IDENTIFIED BY 'password' REQUIRE SSL;

Pēc tam izskalojiet privilēģijas ar šādu komandu:

MariaDB [(none)]>FLUSH PRIVILEGES;

Visbeidzot, izejiet no MySQL čaulas ar šādu komandu:

MariaDB [(none)]>exit;

Piezīme: 192.168.0.191 ir attālā lietotāja (klienta) iekārtas IP adrese.

Jūsu serveris tagad ir gatavs atļaut savienojumus ar attālo lietotāju.

5. darbība: izveidojiet klienta sertifikātu

Jūsu servera puses konfigurācija ir pabeigta. Tālāk jums būs jāizveido jauna klienta atslēga un sertifikāts.

Servera mašīnā izveidojiet klienta atslēgu ar šādu komandu:

sudo cd /etc/mysql-ssl
sudo sudo openssl req -newkey rsa:2048 -days 365 -nodes -keyout client-key.pem -out client-req.pem

Pēc tam apstrādājiet klienta RSA atslēgu ar šādu komandu:

sudo openssl rsa -in client-key.pem -out client-key.pem

Visbeidzot parakstiet klienta sertifikātu ar šādu komandu:

sudo openssl x509 -req -in client-req.pem -days 365 -CA ca-cert.pem -CAkey ca-key.pem -set_serial 01 -out client-cert.pem

6. darbība: konfigurējiet MariaDB klientu, lai izmantotu SSL

Visi sertifikāti un atslēga klientam ir gatavi. Pēc tam jums būs jākopē visi klienta sertifikāti jebkurā klienta mašīnā, kurā vēlaties palaist MariaDB klientu.

Jums būs jāinstalē MariaDB klients klienta datorā.

Pirmkārt, klienta datorā lejupielādējiet MariaDB atslēgu ar šādu komandu:

sudo apt-key adv --recv-keys --keyserver hkp://keyserver.ubuntu.com:80 0xF1656F24C74CD1D8

Pēc tam /etc/apt/sources.listfailam pievienojiet MariaDB repozitoriju :

sudo echo "deb [arch=amd64,i386,ppc64el] http://ftp.utexas.edu/mariadb/repo/10.1/ubuntu xenial main" >> /etc/apt/sources.list

Pēc tam atjauniniet apt indeksu ar šādu komandu:

sudo apt-get update -y

Kad apt indekss ir atjaunināts, instalējiet MariaDB klientu klienta mašīnā ar šādu komandu:

sudo apt-get install mariadb-client -y

Tagad izveidojiet direktoriju visu sertifikātu glabāšanai:

sudo mkdir /etc/mysql-ssl

Pēc tam kopējiet visus klienta sertifikātus no servera mašīnas uz klienta mašīnu, izmantojot šādu komandu:

sudo scp [email protected]:/etc/mysql-ssl/client-* /etc/mysql-ssl/

Pēc tam jums būs jākonfigurē MariaDB klients, lai izmantotu SSL. To var izdarīt, izveidojot /etc/mysql/mariadb.conf.d/50-mysql-clients.cnffailu:

sudo nano /etc/mysql/mariadb.conf.d/50-mysql-clients.cnf

Pievienojiet šādas rindas:

[client]
ssl-ca=/etc/mysql-ssl/ca-cert.pem
ssl-cert=/etc/mysql-ssl/client-cert.pem
ssl-key=/etc/mysql-ssl/client-key.pem

Kad esat pabeidzis, saglabājiet failu.

7. darbība: pārbaudiet attālos savienojumus

Tagad, kad viss ir konfigurēts, ir pienācis laiks pārbaudīt, vai varat veiksmīgi izveidot savienojumu ar MariaDB serveri.

Klienta datorā palaidiet šo komandu, lai izveidotu savienojumu ar MariaDB serveri:

mysql -u remote -h 192.168.0.190 -p mysql

Jums tiks lūgts ievadīt remotelietotāja paroli. Pēc paroles ievadīšanas jūs tiksit pieteicies attālajā MariaDB serverī.

Pārbaudiet savienojuma statusu ar šādu komandu:

MariaDB [mysql]> status

Jums vajadzētu redzēt šādu izvadi:

--------------
mysql  Ver 15.1 Distrib 10.2.7-MariaDB, for debian-linux-gnu (x86_64) using readline 5.2

Connection id:      62
Current database:   mysql
Current user:       [email protected]
SSL:            Cipher in use is DHE-RSA-AES256-SHA
Current pager:      stdout
Using outfile:      ''
Using delimiter:    ;
Server:         MariaDB
Server version:     10.0.31-MariaDB-0ubuntu0.16.04.2 Ubuntu 16.04
Protocol version:   10
Connection:     192.168.0.190 via TCP/IP
Server characterset:    utf8mb4
Db     characterset:    utf8mb4
Client characterset:    utf8
Conn.  characterset:    utf8
TCP port:       3306
Uptime:         1 hours 31 min 31 sec

Jums vajadzētu redzēt SSL: Cipher in use is DHE-RSA-AES256-SHAiepriekš sniegtajā izvadē. Tas nozīmē, ka jūsu savienojums tagad ir drošs, izmantojot SSL.

Secinājums

Apsveicam! Jūs esat veiksmīgi konfigurējis MariaDB serveri ar SSL atbalstu. Tagad varat piešķirt piekļuvi citiem klientiem, lai tie piekļūtu MariaDB serverim, izmantojot SSL.