MariaDB SSL 활성화

tag-icon tag-icon ssl mariadb
MariaDB SSL 활성화

MariaDB 인증을 기본값보다 조금 더 안전하게 만들어야 합니다. 이에 대한 SSL 지원을 설정하려고 시도했지만 여기서는 오래된 방법만 찾았습니다.

Ubuntu에서 MySQL SSL을 활성화하는 방법

따라했는데 확인해보니 이런 내용이 나오더군요.

MariaDB [(none)]> show variables like "%ssl%";
+---------------+----------------------------+
| Variable_name | Value                      |
+---------------+----------------------------+
| have_openssl  | NO                         |
| have_ssl      | DISABLED                   |
| ssl_ca        | /etc/mysql/ca-cert.pem     |
| ssl_capath    |                            |
| ssl_cert      | /etc/mysql/server-cert.pem |
| ssl_cipher    |                            |
| ssl_crl       |                            |
| ssl_crlpath   |                            |
| ssl_key       | /etc/mysql/server-key.pem  |
+---------------+----------------------------+
9 rows in set (0.00 sec)

MariaDB [(none)]> \s
...
SSL: not in use
...

이 소스는 2011년에 작성된 것입니다. 오래된 것일 수도 있고, 어딘가에서 실수를 했을 수도 있습니다. 생성했을 때 .pems오류가 없었습니다. 내 /var/log/mysql/error.log파일이 비어 있습니다.

어떤 아이디어가 있나요?

답변1

mariadb 내에서 SSL을 활성화하려면 버전을 ssl( )로 컴파일해야 하며 have_ssl | DISABLEDmysql 구성 내에서 이를 활성화해야 합니다.

# grep -Ri ssl /etc/mysql/my.cnf
ssl = true
ssl-ca = /etc/mysql/cacert.pem
ssl-cert = /etc/mysql/server-cert.pem
ssl-key = /etc/mysql/server-key.pem

다시 시작하거나 mysql 프로세스 SSL을 활성화해야 합니다.

참고

이 답변다른 질문을 통해 이 오류를 제거하는 데 도움이 되었습니다.

ERROR 2026 (HY000): SSL connection error: tlsv1 alert unknown ca

답변2

Ubuntu 18.04.3 인증 기관을 만들었습니다. 그것에 관한 모든 것을 확인했습니다. 루트, 인증서, 키 체인이 작동합니다.

MariaDB [(none)]>
MariaDB [(none)]>
MariaDB [(none)]>
MariaDB [(none)]> SHOW VARIABLES LIKE '%ssl%';
+---------------------+---------------------------------+
| Variable_name       | Value                           |
+---------------------+---------------------------------+
| have_openssl        | YES                             |
| have_ssl            | YES                             |
| ssl_ca              | /etc/mysql/ssl/ca-cert.pem      |
| ssl_capath          |                                 |
| ssl_cert            | /etc/mysql/ssl/mariadb-cert.pem |
| ssl_cipher          | DHE-RSA-AES256-SHA              |
| ssl_crl             |                                 |
| ssl_crlpath         |                                 |
| ssl_key             | /etc/mysql/ssl/mariadb-key.pem  |
| version_ssl_library | OpenSSL 1.1.1c  28 May 2019     |
+---------------------+---------------------------------+

mysql  Ver 15.1 Distrib 10.4.8-MariaDB, for debian-linux-gnu (x86_64) using readline 5.2

Connection id:          37
Current database:
Current user:           sa@localhost
SSL:                    Not in use
Current pager:          stdout
Using outfile:          ''
Using delimiter:        ;
Server:                 MariaDB
Server version:         10.4.8-MariaDB-1:10.4.8+maria~bionic mariadb.org binary distribution
Protocol version:       10
Connection:             Localhost via UNIX socket
Server characterset:    latin1
Db     characterset:    latin1
Client characterset:    utf8
Conn.  characterset:    utf8
UNIX socket:            /var/run/mysqld/mysqld.sock
Uptime:                 19 hours 5 min 57 sec

Threads: 7  Questions: 66  Slow queries: 0  Opens: 31  Flush tables: 1  Open tables: 25  Queries per second avg: 0.000
--------------

MariaDB [(none)]>

CA에 대한 온라인 프로세스를 따르고 MariaDB SSL 키를 생성했습니다.

my.cnf위에 표시되는 키를 얻기 위해 작업을 수행했습니다 . /etc/mysql/mariadb.cnf그 안에 열쇠가 있어요. 업데이트를 위해 Mariadb 저장소를 설치했습니다.

여기 있습니다 my.cnf:

[mysqld]
ssl = true
ssl-ca          = /etc/mysql/ssl/ca-cert.pem
ssl-cert         = /etc/mysql/ssl/mariadb-cert.pem
ssl-key          = /etc/mysql/ssl/mariadb-key.pem
log_error=/var/log/mysql/mysql_error.log
ssl-cipher=DHE-RSA-AES256-SHA


grep -Ri ssl /etc/mysql/my.cnf
ssl = true
ssl-ca          = /etc/mysql/ssl/ca-cert.pem
ssl-cert         = /etc/mysql/ssl/mariadb-cert.pem
ssl-key          = /etc/mysql/ssl/mariadb-key.pem
ssl-cipher=DHE-RSA-AES256-SHA

ssl-cipher entry can be removed.

관련 정보