Säker MariaDB med SSL-stöd på Ubuntu 16.04

MariaDB är en gratis databas med öppen källkod och är den mest använda drop-in-ersättningen för MySQL. Den är gjord av utvecklarna av MySQL och avsedd att förbli gratis under GNU GPL. Den är väldigt snabb, skalbar och kommer med en mängd funktioner som gör den väldigt mångsidig för en mängd olika användningsfall.

Denna handledning går igenom hur du installerar och konfigurerar MariaDB med SSL-stöd på Ubuntu 16.04.

Krav

• En ny Ubuntu 16.04 Vultr-instans.
• En icke-root-användare med sudo-privilegier.
• En statisk IP-adress 192.168.0.190 är konfigurerad på serverinstansen.
• En statisk IP-adress 192.168.0.191 är konfigurerad på klientdatorn.

Steg 1: Installera MariaDB

Som standard är den senaste versionen av MariaDB inte tillgänglig i Ubuntu 16.04-förvaret; så du måste lägga till MariaDB-förvaret till ditt system.

Ladda först ner nyckeln med följande kommando:

sudo apt-key adv --recv-keys --keyserver hkp://keyserver.ubuntu.com:80 0xF1656F24C74CD1D8

Lägg sedan till MariaDB-förvaret i /etc/apt/sources.listfilen:

sudo echo "deb [arch=amd64,i386,ppc64el] http://ftp.utexas.edu/mariadb/repo/10.1/ubuntu xenial main" >> /etc/apt/sources.list

Uppdatera apt index med följande kommando:

sudo apt-get update -y

När apt index har uppdaterats installerar du MariaDB-servern med följande kommando:

sudo apt-get install mariadb-server -y

Starta MariaDB-servern och låt den starta vid uppstart:

sudo systemctl start mysql
sudo systemctl enable mysql

Därefter måste du köra mysql_secure_installationskript för att säkra MariaDB-installationen. Det här skriptet låter dig ställa in root-lösenordet, ta bort anonyma användare, förbjuda fjärrinloggning för root och ta bort testdatabasen:

sudo mysql_secure_installation

Steg 2: Skapa ett SSL-certifikat och en privat nyckel för servern

Skapa först en katalog för att lagra alla nyckel- och certifikatfiler.

sudo mkdir /etc/mysql-ssl

Ändra sedan katalogen till /etc/mysql-ssloch skapa CA-certifikatet och den privata nyckeln med följande kommando:

sudo cd /etc/mysql-ssl
sudo openssl genrsa 2048 > ca-key.pem
sudo openssl req -new -x509 -nodes -days 365000 -key ca-key.pem -out ca-cert.pem

Svara på alla frågorna enligt nedan:

You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [AU]:IN
State or Province Name (full name) [Some-State]:GUJ
Locality Name (eg, city) []:JND
Organization Name (eg, company) [Internet Widgits Pty Ltd]:ENJ
Organizational Unit Name (eg, section) []:SYSTEM
Common Name (e.g. server FQDN or YOUR name) []:HITESH
Email Address []:[email protected]

Skapa sedan en privat nyckel för servern med följande kommando:

sudo openssl req -newkey rsa:2048 -days 365 -nodes -keyout server-key.pem -out server-req.pem

Svara på alla frågor som du gjorde i föregående kommando.

Exportera sedan serverns privata nyckel till en nyckel av RSA-typ med följande kommando:

sudo sudo openssl rsa -in server-key.pem -out server-key.pem

Skapa slutligen ett servercertifikat med CA-certifikatet enligt följande:

sudo openssl x509 -req -in server-req.pem -days 365 -CA ca-cert.pem -CAkey ca-key.pem -set_serial 01 -out server-cert.pem

Du kan nu se alla certifikat och nyckel med följande kommando:

ls

Du bör se följande utdata:

ca-cert.pem  ca-key.pem  server-cert.pem  server-key.pem  server-req.pem

När du är klar kan du gå vidare till nästa steg.

Steg 3: Konfigurera MariaDB Server för att använda SSL

Du bör ha alla certifikat och en privat nyckel; och nu måste du konfigurera MariaDB för att använda nyckeln och certifikaten. Du kan göra detta genom att redigera /etc/mysql/mariadb.conf.d/50-server.cnffilen:

sudo nano /etc/mysql/mariadb.conf.d/50-server.cnf

Lägg till följande rader under [mysqld]avsnittet:

ssl-ca=/etc/mysql-ssl/ca-cert.pem
ssl-cert=/etc/mysql-ssl/server-cert.pem
ssl-key=/etc/mysql-ssl/server-key.pem

##Change this value to connect the MariaDB server from another host.
bind-address = *

Spara filen och starta sedan om MariaDB-tjänsten för att tillämpa dessa ändringar:

sudo systemctl restart mysql

Nu kan du kontrollera om SSL-konfigurationen fungerar eller inte med följande fråga:

mysql -u root -p
MariaDB [(none)]> SHOW VARIABLES LIKE '%ssl%';

Om konfigurationen lyckades bör du se följande utdata:

+---------------+--------------------------------+
| Variable_name | Value                          |
+---------------+--------------------------------+
| have_openssl  | YES                            |
| have_ssl      | YES                            |
| ssl_ca        | /etc/mysql-ssl/ca-cert.pem     |
| ssl_capath    |                                |
| ssl_cert      | /etc/mysql-ssl/server-cert.pem |
| ssl_cipher    |                                |
| ssl_crl       |                                |
| ssl_crlpath   |                                |
| ssl_key       | /etc/mysql-ssl/server-key.pem  |
+---------------+--------------------------------+

Du kommer att märka det have_ssloch have_opensslvärdena är aktiverade i ovanstående utgången.

Steg 4: Skapa en användare med SSL-rättigheter

Skapa en fjärranvändare som har behörighet att komma åt MariaDB-servern över SSL. Gör detta genom att köra följande kommando:

Logga först in på MySQL-skalet:

mysql -u root -p

Skapa sedan användare remoteoch ge behörighet att komma åt servern över SSL.

MariaDB [(none)]>GRANT ALL PRIVILEGES ON *.* TO 'remote'@'192.168.0.191' IDENTIFIED BY 'password' REQUIRE SSL;

Rensa sedan privilegierna med följande kommando:

MariaDB [(none)]>FLUSH PRIVILEGES;

Slutligen, avsluta MySQL-skalet med följande kommando:

MariaDB [(none)]>exit;

Obs: 192.168.0.191 är IP-adressen för fjärranvändarens (klient) maskin.

Din server är nu redo att tillåta anslutningar till fjärranvändare.

Steg 5: Skapa klientcertifikatet

Konfigurationen på serversidan är klar. Därefter måste du skapa en ny nyckel och certifikat för klienten.

På serverdatorn skapar du klientnyckeln med följande kommando:

sudo cd /etc/mysql-ssl
sudo sudo openssl req -newkey rsa:2048 -days 365 -nodes -keyout client-key.pem -out client-req.pem

Bearbeta sedan klientens RSA-nyckel med följande kommando:

sudo openssl rsa -in client-key.pem -out client-key.pem

Slutligen, signera klientcertifikatet med följande kommando:

sudo openssl x509 -req -in client-req.pem -days 365 -CA ca-cert.pem -CAkey ca-key.pem -set_serial 01 -out client-cert.pem

Steg 6: Konfigurera MariaDB-klienten för att använda SSL

Alla certifikat och nyckeln är redo för klienten. Därefter måste du kopiera alla klientcertifikat till valfri klientdator där du vill köra MariaDB-klienten.

Du måste installera MariaDB-klienten på klientdatorn.

Först, på klientdatorn, ladda ner nyckeln för MariaDB med följande kommando:

sudo apt-key adv --recv-keys --keyserver hkp://keyserver.ubuntu.com:80 0xF1656F24C74CD1D8

Lägg sedan till MariaDB-förvaret i /etc/apt/sources.listfilen:

sudo echo "deb [arch=amd64,i386,ppc64el] http://ftp.utexas.edu/mariadb/repo/10.1/ubuntu xenial main" >> /etc/apt/sources.list

Uppdatera sedan apt index med följande kommando:

sudo apt-get update -y

När apt index har uppdaterats installerar du MariaDB-klienten på klientdatorn med följande kommando:

sudo apt-get install mariadb-client -y

Skapa nu en katalog för att lagra alla certifikat:

sudo mkdir /etc/mysql-ssl

Kopiera sedan alla klientcertifikat från serverdatorn till klientdatorn med följande kommando:

sudo scp [email protected]:/etc/mysql-ssl/client-* /etc/mysql-ssl/

Sedan måste du konfigurera MariaDB-klienten för att använda SSL. Du kan göra detta genom att skapa en /etc/mysql/mariadb.conf.d/50-mysql-clients.cnffil:

sudo nano /etc/mysql/mariadb.conf.d/50-mysql-clients.cnf

Lägg till följande rader:

[client]
ssl-ca=/etc/mysql-ssl/ca-cert.pem
ssl-cert=/etc/mysql-ssl/client-cert.pem
ssl-key=/etc/mysql-ssl/client-key.pem

Spara filen när du är klar.

Steg 7: Verifiera fjärranslutningar

Nu när allt är konfigurerat är det dags att verifiera om du kan ansluta till MariaDB-servern framgångsrikt eller inte.

På klientdatorn, kör följande kommando för att ansluta till MariaDB-servern:

mysql -u remote -h 192.168.0.190 -p mysql

Du kommer att bli ombedd att ange remoteanvändarlösenordet. Efter att ha angett lösenordet kommer du att loggas in på den fjärranslutna MariaDB-servern.

Kontrollera anslutningens status med följande kommando:

MariaDB [mysql]> status

Du bör se följande utdata:

--------------
mysql  Ver 15.1 Distrib 10.2.7-MariaDB, for debian-linux-gnu (x86_64) using readline 5.2

Connection id:      62
Current database:   mysql
Current user:       [email protected]
SSL:            Cipher in use is DHE-RSA-AES256-SHA
Current pager:      stdout
Using outfile:      ''
Using delimiter:    ;
Server:         MariaDB
Server version:     10.0.31-MariaDB-0ubuntu0.16.04.2 Ubuntu 16.04
Protocol version:   10
Connection:     192.168.0.190 via TCP/IP
Server characterset:    utf8mb4
Db     characterset:    utf8mb4
Client characterset:    utf8
Conn.  characterset:    utf8
TCP port:       3306
Uptime:         1 hours 31 min 31 sec

Du bör se SSL: Cipher in use is DHE-RSA-AES256-SHAi utgången ovan. Det betyder att din anslutning nu är säker med SSL.

Slutsats

Grattis! Du har framgångsrikt konfigurerat en MariaDB-server med SSL-stöd. Du kan nu ge åtkomst till andra klienter för att komma åt MariaDB-servern över SSL.