阅读更多

1顶
0踩

数据库

转载新闻 MySQL的SSL加密连接与性能开销

2015-12-10 10:05 by 副主编 mengyidan1988 评论(0) 有11044人浏览
前言
在生产环境下,安全总是无法忽视的问题,数据库安全则是重中之重,因为所有的数据都存放在数据库中。MySQL在5.7版本之前对于安全问题的确考虑并不充分,导致存在比较大的隐患,比如下面的这些问题,可能有些小伙伴知道,有些却还不知道:
  • MySQL数据库默认安装的用户密码为空
  • 所有用户拥有对于MySQL默认安装test数据库的访问权限(即使没有授予权限)

好在Oracle官方也已经意识到安全的重要性,MySQL 5.7开始安装完成后的root用户的密码不再是空,而是在安装时随机产生一个密码,这也导致了用户安装5.7时发现的与5.6版本比较大的一个不同点。其次,官方已经删除了test数据库,默认安装完后是没有test数据库的。更为重要的是,MySQL 5.7版本提供了更为简单SSL安全访问配置,并且默认连接就采用SSL的加密方式。

何为SSL
首先看下维基百科是如何定义SSL的:
引用
Transport Layer Security (TLS) and its predecessor, Secure Sockets Layer (SSL), both of which are frequently referred to as 'SSL', are cryptographic protocols designed to provide communications security over a computer network.


从上面的定义来看,SSL指的是SSL/TLS,其是一种为了在计算机网络进行安全通信的加密协议。假设用户的传输不是通过SSL的方式,那么其在网络中以明文的方式进行传输,而这给别有用心的人带来了可乘之机。所以,现在很多网站其实默认已经开启了SSL功能,比如Facebook、Twtter、YouTube、淘宝等。



在数据库领域,之前Inside君去某公司做技术交流时,该公司介绍其运维平台能够对一些敏感字段做处理,比如取出的密码或资金数据用***来表示,那么DBA就无法看到这部分的私人数据内容。这本身是一个很不错的安全处理方式,但若DBA在本地装一个类似tcpdump的工具,则依然能够通过获取得到的包得到想要的数据。因此,除了在程序端进行展示的安全处理,还需在MySQL服务器端开启安全的加密通信功能,这时就是SSL发挥功能的时候了。

3.MySQL 5.7的SSL配置与使用
如果仔细阅读MySQL 5.7的安装文档INSTALL-BINARY,会发现5.7的安装文档在初始化数据目录之后还额外多做了一个操作,这是之前版本所没有的操作,而该步骤即是对于SSL的安装与配置:
......
shell> bin/mysqld --initialize --user=mysql
shell> bin/mysql_ssl_rsa_setup  
......          

运行完命令mysql_ssl_rsa_setup后会发现数据目录下多出了一些以pem结尾的文件,而这些文件就是开启SSL连接所需要的文件:
root@test-1:/usr/local/mysql/data# ls -lh *.pem
-rw------- 1 mysql mysql 1.7K Nov 25 14:12 ca-key.pem
-rw-r--r-- 1 mysql mysql 1.1K Nov 25 14:12 ca.pem
-rw-r--r-- 1 mysql mysql 1.1K Nov 25 14:12 client-cert.pem
-rw------- 1 mysql mysql 1.7K Nov 25 14:12 client-key.pem
-rw------- 1 mysql mysql 1.7K Nov 25 14:12 private_key.pem
-rw-r--r-- 1 mysql mysql  451 Nov 25 14:12 public_key.pem
-rw-r--r-- 1 mysql mysql 1.1K Nov 25 14:12 server-cert.pem
-rw------- 1 mysql mysql 1.7K Nov 25 14:12 server-key.pem

若这时启动MySQL数据库并启动应该可以发现如下状态:
mysql>SHOW VARIABLES LIKE 'have_ssl';
+---------------+-------+
| Variable_name | Value |
+---------------+-------+
| have_ssl          | YES     |
+---------------+-------+
1 row in set (0.00 sec)

该参数表示MySQL服务器开启了SSL功能,而在MySQL 5.7版本下默认就会使用SSL的方式来进行连接,比如:
root@test-1:~# mysql -h10.166.224.32 -udavid
mysql> \s
--------------
mysql  Ver 14.14 Distrib 5.7.9, for linux-glibc2.5 (x86_64) using  EditLine wrapper

Connection id:		6119
Current database:	
Current user:		david@10.166.224.32
SSL:			Cipher in use is DHE-RSA-AES256-SHA
......

通过STATUS的SSL列就能判断连接的用户是否使用了SSL,比如上述例子中的Cipher in use is DHE-RSA-AES256-SHA就表示当前david用户是通过SSL的方式进行连接。若在创建用户时,希望该用户每次必须通过SSL方式,则需在创建用户通过REQUIRE SSL来进行设置,对于上述的david用户,可以通过如下方式来进行修改以确保每次通过SSL进行连接,强制不使用SSL进行连接则报错:
mysql> ALTER USER david@'%' REQUIRE SSL;
......
root@test-1:~# mysql -h10.166.224.32 -udavid --ssl=0
ERROR 1045 (28000): Access denied for user 'david'@'10.166.224.32' (using password: YES)

MySQL 5.6同样支持以SSL的方式进行连接,但是操作相对5.7较为复杂,用户需要自己通过openssl命令来创建各类公密钥,具体可以查看相关官方文档。

SSL性能测试
相信很多小伙伴关心开启SSL加密连接后的性能表现,不可否认的是启用SSL加密连接后,性能必然会有下降。这里的测试采用全内存SELECT主键的方式,因此可以认为是最坏情况的SSL性能开销:



上述的测试是在Inside君的云主机环境下,云主机配置只有4核CPU,故QPS值整体不高,但是应该能够发现开启SSL后的性能开销在25%左右。

另外,由于SSL开销较大的环节在建立连接,所以短链接的开销可能会更大,因此推荐使用长连接或者连接池的方式来减小SSL所带来的额外开销,不过好在MySQL的应用习惯大部分也是长连接的方式。

总结
1.MySQL 5.7配置SSL要比5.6来的简单的多
2.MySQL 5.7客户端默认开启SSL加密连接
3.通常来说,开启SSL加密连接后,性能最大的开销在25%左右

本文来自微信公众号:InsideMySQL
  • 大小: 95.5 KB
  • 大小: 41.4 KB
来自: InsideMySQL
1
0
评论 共 0 条 请登录后发表评论

发表评论

您还没有登录,请您登录后再发表评论

相关推荐

  • c++数组和 vector访问执行性能比较

    首先,我在win10上用vs2015,将数组和vector分别对数组进行10万次操作,结果很明显。 下面是运行代码: #include<iostream> #include<windows.h> #include< vector > #include< algorithm &...

  • C++ vector 性能优化:

    若提前知道空间大小,提前分配会提高性能: vector<int> v; v.reserve(10000); // 注,reserve预留空间,但不创建对象 // 即在push_back或insert前不可以直接引用。 // 区别于resize(),resize()会...

  • vector性能调优之resize与reserve

    vector的resize与reserve reserve()函数为当前vector预留至少共容纳size个元素的空间.(译注:实际空间可能大于size) resize() 函数( void resize( size_type size, TYPE val ) )改变当前vector的大小为size,且对新...

  • C++_vector操作

    vector说明: vector是向量类型,可以容纳许多类型的数据,因此也被称为容器 (可以理解为动态数组,是封装好了的类) vector头文件-vector vector初始化: 方式1. vector<int>a(10);//定义具有10个...

  • ArrayList 和 Vector 的区别

    ArrayList 和 Vector 的区别是什么? Vector 的方法都是同步的,线程安全;ArrayList 非线程安全,但性能比Vector好 默认初始化容量都是10,Vector 扩容默认会翻倍,可指定扩容的大小;ArrayList只增加 50% ...

  • ArrayList、Vector和LinkedList的存储性能和特性

    简述ArrayList、Vector和LinkedList的存储性能和特性。   ArrayList和Vector是采用数组方式存储集合中的元素,元素之间内存地址是连续的。此数组元素数大于实际存储的数据增加和插入新数据,都允许直接序号索引...

  • C++中vector<int>& nums和vector<int> nums的区别

    vector<vector<int>> allrot(const vector<int>& a) { vector<vector<int>> result; for (int i = 0; i < a.size(); i ++ ){ rotate(a.begin(), a.begin() + 1, a.end());...

  • c++ 数组和vector的比较

    数组、动态数组和vector 数组是底层数据类型,存放在栈中,其内存的分配和释放完全由系统自动完成,效率最高; 动态数组是程序员由new运算符创建的,存放在堆中,需由delete运算符人工释放,否则会内存泄露; ...

  • ArrayList和Vector的区别

    ArrayList和Vector的区别

  • C++ 数组 array 和vector间的联系和区别

    一.C++ 数组 array 和vector间的联系和区别 相同点: 1.都和数组类似,都可以使用标准数组的表示方法来访问每个元素;array和vector都针对下标运算符[]进行了重载 2.三者的存储都是使用的连续内存,都可以进行随机...

  • C++ char*转vector性能分析(五)

    vector> #include <time.h> using namespace std; int main(){ char buffer[1000000] = {0}; clock_t start,end; cout << "sizeof(buffer) = " &...

  • Vector的线程安全问题

    首先提一个问题,Vector是线程安全的吗? 很多人都会回答:vector是线程安全的。 确实,通过查看JDK源码中,Vector确实是线程安全的,至少Vector的作者是这么说的。 通过观察源码,发现 Vector 类中的大部分方法都...

  • 【Unity】旋转Vector3和Quaternion

    【Unity】旋转Vector3和Quaternion 旋转Vector3 计算一个Vector3绕指定轴旋转指定角度后所得到的向量。 /// <summary> /// 计算一个Vector3绕指定轴旋转指定角度后所得到的向量。 /// </summary> /// &...

  • vector内存机制和性能分析

    一些好的公司校园招聘过程中(包括笔试、面试环节),经常会涉及到STL中vector的使用(主要是笔试)及其性能(面试)的分析。今天看了下相关文章,也写了几个小的测试程序跑了跑。算是总结下,希望对需要的人有帮助...

  • 访问vector元素时的越界问题

    int main(){vector<int> ivec(10);cout<<ivec[0]<<endl;cout<<ivec[100]<endl;}vector中包含三个迭代器:first迭代器指向第一个元素;finish迭代器...

  • 6 个技巧,提升 C++11 的 vector 性能

    性能测试的搭建和方法: 所有测试都在我的 Surface Book 中运行,这台笔记本拥有主频 2.6Ghz 的酷睿 i7 处理器,8 GB 内存,安装了 Windows 10 操作系统并使用 VS2015 C++ 编译器编译运行。 ...

  • Android使用Vector进行适配和瘦身

    Android Vector在android5.0开始google提供了Vector的支持,到现在为止google...Vector图像可以自动进行适配,不需要通过分辨率来设置不同的图片,一套解决问题 Vector图像可以大幅减少图像的体积,同样一张图,用Ve

  • string类和vector<char>的区别,vector和list比较

    一.string类和vector<char>的区别 string类是一个保存字符的动态数组,由于其中有一个接口c_str,转化成c语言的字符串,要以\0结尾,所以string类最后会有一个\0. vector<T>是一个保存T类型的动态数组...

  • c++ vector二维数组初始化与vector切片

    实际开发过程中,经常会使用vector嵌套的方式来模拟二维数组,下面我们详细分析一下如何对其进行初始化。同时array是动态数组,后面可以通过resize方法将其列数指定为2。我们还可以在创建vector的时候,直接指定...

  • 数组和vector区别

    本文基于邓俊辉编著《数据结构(C++语言版)(第3版)》、《C++ Primer(第5版)》以及网上的相关博文...定义数组的时,必须指定数组的类型和大小。 (2)初始化时,允许不指明数组的维度,不指明维度,则编译器根据.

Global site tag (gtag.js) - Google Analytics