Захист MariaDB з підтримкою SSL в Ubuntu 16.04

MariaDB є безкоштовною базою даних з відкритим вихідним кодом і є найбільш широко використовуваною заміною MySQL. Він створений розробниками MySQL і повинен залишатися безкоштовним під GNU GPL. Він дуже швидкий, масштабований і має багатий набір функцій, які роблять його дуже універсальним для найрізноманітніших випадків використання.

У цьому посібнику ви дізнаєтеся, як встановити та налаштувати MariaDB з підтримкою SSL в Ubuntu 16.04.

Вимоги

• Свіжий екземпляр Ubuntu 16.04 Vultr.
• Користувач без права root з привілеями sudo.
• На екземплярі сервера налаштовано статичну IP-адресу 192.168.0.190.
• На клієнтській машині налаштовано статичну IP-адресу 192.168.0.191.

Крок 1: Встановіть MariaDB

За замовчуванням остання версія MariaDB недоступна в репозиторії Ubuntu 16.04; тому вам потрібно буде додати репозиторій MariaDB у вашу систему.

Спочатку завантажте ключ за допомогою такої команди:

sudo apt-key adv --recv-keys --keyserver hkp://keyserver.ubuntu.com:80 0xF1656F24C74CD1D8

Далі додайте до /etc/apt/sources.listфайлу репозиторій MariaDB :

sudo echo "deb [arch=amd64,i386,ppc64el] http://ftp.utexas.edu/mariadb/repo/10.1/ubuntu xenial main" >> /etc/apt/sources.list

Оновіть індекс apt за допомогою такої команди:

sudo apt-get update -y

Після оновлення індексу apt встановіть сервер MariaDB за допомогою такої команди:

sudo apt-get install mariadb-server -y

Запустіть сервер MariaDB і ввімкніть його запуск під час завантаження:

sudo systemctl start mysql
sudo systemctl enable mysql

Далі вам потрібно буде запустити mysql_secure_installationсценарій, щоб захистити встановлення MariaDB. Цей скрипт дозволяє встановити пароль root, видалити анонімних користувачів, заборонити віддалений вхід до root і видалити тестову базу даних:

sudo mysql_secure_installation

Крок 2: Створіть сертифікат SSL і закритий ключ для сервера

Спочатку створіть каталог для зберігання всіх файлів ключів і сертифікатів.

sudo mkdir /etc/mysql-ssl

Далі змініть каталог на /etc/mysql-sslта створіть сертифікат ЦС та закритий ключ за допомогою такої команди:

sudo cd /etc/mysql-ssl
sudo openssl genrsa 2048 > ca-key.pem
sudo openssl req -new -x509 -nodes -days 365000 -key ca-key.pem -out ca-cert.pem

Дайте відповіді на всі запитання, як показано нижче:

You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [AU]:IN
State or Province Name (full name) [Some-State]:GUJ
Locality Name (eg, city) []:JND
Organization Name (eg, company) [Internet Widgits Pty Ltd]:ENJ
Organizational Unit Name (eg, section) []:SYSTEM
Common Name (e.g. server FQDN or YOUR name) []:HITESH
Email Address []:[email protected]

Далі створіть приватний ключ для сервера за допомогою такої команди:

sudo openssl req -newkey rsa:2048 -days 365 -nodes -keyout server-key.pem -out server-req.pem

Дайте відповіді на всі запитання, як у попередній команді.

Далі експортуйте закритий ключ сервера до ключа типу RSA за допомогою такої команди:

sudo sudo openssl rsa -in server-key.pem -out server-key.pem

Нарешті, згенеруйте сертифікат сервера, використовуючи сертифікат ЦС, як показано нижче:

sudo openssl x509 -req -in server-req.pem -days 365 -CA ca-cert.pem -CAkey ca-key.pem -set_serial 01 -out server-cert.pem

Тепер ви можете побачити всі сертифікати та ключ за допомогою такої команди:

ls

Ви повинні побачити такий вихід:

ca-cert.pem  ca-key.pem  server-cert.pem  server-key.pem  server-req.pem

Після того як ви закінчите, ви можете переходити до наступного кроку.

Крок 3: Налаштуйте сервер MariaDB на використання SSL

Ви повинні мати всі сертифікати та закритий ключ; і тепер вам потрібно буде налаштувати MariaDB на використання ключа та сертифікатів. Ви можете зробити це, відредагувавши /etc/mysql/mariadb.conf.d/50-server.cnfфайл:

sudo nano /etc/mysql/mariadb.conf.d/50-server.cnf

Додайте такі рядки під [mysqld]розділом:

ssl-ca=/etc/mysql-ssl/ca-cert.pem
ssl-cert=/etc/mysql-ssl/server-cert.pem
ssl-key=/etc/mysql-ssl/server-key.pem

##Change this value to connect the MariaDB server from another host.
bind-address = *

Збережіть файл, а потім перезапустіть службу MariaDB, щоб застосувати ці зміни:

sudo systemctl restart mysql

Тепер ви можете перевірити, чи працює конфігурація SSL, за допомогою такого запиту:

mysql -u root -p
MariaDB [(none)]> SHOW VARIABLES LIKE '%ssl%';

Якщо конфігурація була успішною, ви повинні побачити такий результат:

+---------------+--------------------------------+
| Variable_name | Value                          |
+---------------+--------------------------------+
| have_openssl  | YES                            |
| have_ssl      | YES                            |
| ssl_ca        | /etc/mysql-ssl/ca-cert.pem     |
| ssl_capath    |                                |
| ssl_cert      | /etc/mysql-ssl/server-cert.pem |
| ssl_cipher    |                                |
| ssl_crl       |                                |
| ssl_crlpath   |                                |
| ssl_key       | /etc/mysql-ssl/server-key.pem  |
+---------------+--------------------------------+

Ви повинні помічати have_sslі have_opensslзначення включені у висновку вище.

Крок 4: Створіть користувача з привілеями SSL

Створіть віддаленого користувача, який має право доступу до сервера MariaDB через SSL. Зробіть це, виконавши таку команду:

Спочатку увійдіть до оболонки MySQL:

mysql -u root -p

Далі створіть користувача remoteта надайте привілей доступу до сервера через SSL.

MariaDB [(none)]>GRANT ALL PRIVILEGES ON *.* TO 'remote'@'192.168.0.191' IDENTIFIED BY 'password' REQUIRE SSL;

Потім очистіть привілеї за допомогою такої команди:

MariaDB [(none)]>FLUSH PRIVILEGES;

Нарешті, вийдіть з оболонки MySQL за допомогою такої команди:

MariaDB [(none)]>exit;

Примітка: 192.168.0.191 – це IP-адреса машини віддаленого користувача (клієнта).

Тепер ваш сервер готовий дозволити підключення до віддаленого користувача.

Крок 5: Створіть сертифікат клієнта

Конфігурація сервера завершена. Далі вам потрібно буде створити новий ключ і сертифікат для клієнта.

На сервері створіть клієнтський ключ за допомогою такої команди:

sudo cd /etc/mysql-ssl
sudo sudo openssl req -newkey rsa:2048 -days 365 -nodes -keyout client-key.pem -out client-req.pem

Далі обробіть клієнтський ключ RSA за допомогою такої команди:

sudo openssl rsa -in client-key.pem -out client-key.pem

Нарешті, підпишіть сертифікат клієнта за допомогою такої команди:

sudo openssl x509 -req -in client-req.pem -days 365 -CA ca-cert.pem -CAkey ca-key.pem -set_serial 01 -out client-cert.pem

Крок 6: Налаштуйте клієнт MariaDB на використання SSL

Усі сертифікати та ключ готові для клієнта. Далі вам потрібно буде скопіювати всі клієнтські сертифікати на будь-яку клієнтську машину, де ви хочете запустити клієнт MariaDB.

Вам потрібно буде встановити клієнт MariaDB на клієнтську машину.

Спочатку на клієнтській машині завантажте ключ для MariaDB за допомогою такої команди:

sudo apt-key adv --recv-keys --keyserver hkp://keyserver.ubuntu.com:80 0xF1656F24C74CD1D8

Потім додайте до /etc/apt/sources.listфайлу репозиторій MariaDB :

sudo echo "deb [arch=amd64,i386,ppc64el] http://ftp.utexas.edu/mariadb/repo/10.1/ubuntu xenial main" >> /etc/apt/sources.list

Далі оновіть індекс apt за допомогою такої команди:

sudo apt-get update -y

Після оновлення індексу apt встановіть клієнт MariaDB на клієнтську машину за допомогою такої команди:

sudo apt-get install mariadb-client -y

Тепер створіть каталог для зберігання всіх сертифікатів:

sudo mkdir /etc/mysql-ssl

Далі скопіюйте всі клієнтські сертифікати з серверної машини на клієнтську машину за допомогою такої команди:

sudo scp [email protected]:/etc/mysql-ssl/client-* /etc/mysql-ssl/

Потім вам потрібно буде налаштувати клієнт MariaDB на використання SSL. Ви можете зробити це, створивши /etc/mysql/mariadb.conf.d/50-mysql-clients.cnfфайл:

sudo nano /etc/mysql/mariadb.conf.d/50-mysql-clients.cnf

Додайте такі рядки:

[client]
ssl-ca=/etc/mysql-ssl/ca-cert.pem
ssl-cert=/etc/mysql-ssl/client-cert.pem
ssl-key=/etc/mysql-ssl/client-key.pem

Збережіть файл, коли ви закінчите.

Крок 7: Перевірте віддалені підключення

Тепер, коли все налаштовано, настав час перевірити, чи можете ви успішно підключитися до сервера MariaDB чи ні.

На клієнтській машині виконайте таку команду, щоб підключитися до сервера MariaDB:

mysql -u remote -h 192.168.0.190 -p mysql

Вам буде запропоновано ввести remoteпароль користувача. Після введення пароля ви ввійдете на віддалений сервер MariaDB.

Перевірте стан підключення за допомогою такої команди:

MariaDB [mysql]> status

Ви повинні побачити такий вихід:

--------------
mysql  Ver 15.1 Distrib 10.2.7-MariaDB, for debian-linux-gnu (x86_64) using readline 5.2

Connection id:      62
Current database:   mysql
Current user:       [email protected]
SSL:            Cipher in use is DHE-RSA-AES256-SHA
Current pager:      stdout
Using outfile:      ''
Using delimiter:    ;
Server:         MariaDB
Server version:     10.0.31-MariaDB-0ubuntu0.16.04.2 Ubuntu 16.04
Protocol version:   10
Connection:     192.168.0.190 via TCP/IP
Server characterset:    utf8mb4
Db     characterset:    utf8mb4
Client characterset:    utf8
Conn.  characterset:    utf8
TCP port:       3306
Uptime:         1 hours 31 min 31 sec

Ви повинні побачити SSL: Cipher in use is DHE-RSA-AES256-SHAнаведений вище вихід. Це означає, що ваше з’єднання тепер безпечне за допомогою SSL.

Висновок

Вітаю! Ви успішно налаштували сервер MariaDB з підтримкою SSL. Тепер ви можете надати доступ іншим клієнтам для доступу до сервера MariaDB через SSL.