从 MySQL 5.6 开始,提供了一个新的实用程序:mysql_config_editor,它允许你将身份认证信息存储到一个名为 .mylogin.cnf 的登录路径文件中,该文件的内容进行了混淆加密。对于 Windows 系统,该文件位于 %APPDATA%\MySQL 目录中;对于其他系统,该文件位于当前用户的家目录中。
配置了登录路径文件之后,MySQL 客户端程序连接服务器时可以使用其中的内容进行认证,不需要每次都输入登录信息。
先看没有进行设置之前的情况,我们使用 MySQL 8.0 版本,操作系统为 CentOS 7:
[root@mysql80 ~]# cat /etc/redhat-release
CentOS Linux release 7.4.1708 (Core)
[root@mysql80 ~]# mysql -uroot -p
Enter password:
Welcome to the MySQL monitor. Commands end with ; or \g.
Your MySQL connection id is 11
Server version: 8.0.13 MySQL Community Server - GPL
Copyright (c) 2000, 2018, Oracle and/or its affiliates. All rights reserved.
Oracle is a registered trademark of Oracle Corporation and/or its
affiliates. Other names may be trademarks of their respective
owners.
Type 'help;' or '\h' for help. Type '\c' to clear the current input statement.
mysql>
我们在使用 root 登录时,系统提示需要输入密码。接下来使用 mysql_config_editor 进行设置。
[root@mysql80 ~]# mysql_config_editor set --login-path=localroot --host=localhost --port=3306 --user=root --password
Enter password:
其中,set
用于设置一个登录路径;--login-path
用于指定登录路径名称,随后可以使用该名称进行登录;其他信息和直接登录时一样,执行该命令需要输入一次密码。
执行成功后,就会在当前用户的家目录(此处为 /root)中创建一个隐藏的文件,其中存储了我们设置的登录信息。
[root@mysql80 ~]# ls -l .mylogin.cnf
-rw-------. 1 root root 156 Dec 20 02:56 .mylogin.cnf
当我们再次登录时,就可以使用登录路径,而不需要输入密码了:
[root@mysql80 ~]# mysql --login-path=localroot
Welcome to the MySQL monitor. Commands end with ; or \g.
Your MySQL connection id is 12
Server version: 8.0.13 MySQL Community Server - GPL
Copyright (c) 2000, 2018, Oracle and/or its affiliates. All rights reserved.
Oracle is a registered trademark of Oracle Corporation and/or its
affiliates. Other names may be trademarks of their respective
owners.
Type 'help;' or '\h' for help. Type '\c' to clear the current input statement.
mysql>
就是这么简单。以下为官方文档内容,仅供参考:
文件 .mylogin.cnf 未加密之前的内容和其他的选项文件类似,也是由多个选项组构成。每个选项组称为一个“登录路径”,其中只能包含以下特定的选项信息:host
、user
、password
、port
以及 socket
。每个选项组就是一系列连接选项,指定了要连接的 MySQL 服务器和账户信息。以下是一个未加密之前的登录文件示例:
[client]
user = mydefaultname
password = mydefaultpass
host = 127.0.0.1
[mypath]
user = myothername
password = myotherpass
host = localhost
当你使用客户端连接服务器时,客户端将会使用 .mylogin.cnf 和其他的选项文件获取相关信息。该文件的优先级比其他选项文件要高,但是比直接在命令行指定的参数优先级低。关于选项文件的优先级,可以参考 第 4.2.7 节,“使用选项文件”。
如果想要指定一个非默认的登录路径文件名,可以设置环境变量MYSQL_TEST_LOGIN_FILE
。该变量可以被 mysql_config_editor 使用,同时也可以被标准的 MySQL 客户端工具(mysql、mysqladmin 等等)以及测试工具 mysql-test-run.pl 读取。
这些程序按照以下方式使用登录路径中的选项组:
如果没有使用--login-path=name
选项明确指定登录路径名,mysql_config_editor 默认使用 client 登录路径。
如果没有指定--login-path
选项,客户端程序读取它们在其他选项文件中使用的相同选项组。考虑以下命令:
shell> mysql
默认情况下,mysql 客户端从其他选项文件中读取 [client] 和 [mysql] 选项组,因此它也会从登录路径文件中读取[client] 和 [mysql] 选项组。
如果指定了--login-path
选项,客户端程序还会从登录路径文件中读取指定的登录路径。另外,还是会从其他选项文件中读取默认的选项组。考虑以下命令:
shell> mysql --login-path=mypath
mysql 客户端从其他选项文件中读取 [client] 和 [mysql] 选项组,并且从登录路径文件中读取 [client]、[mysql] 以及 [mypath] 选项组。
即使指定了--no-default
s选项,客户端程序仍然会读取登录路径文件。这种方式允许即使指定了--no-defaults
,仍然可以更安全地使用密码,而不是在命令行中直接输入。
mysql_config_editor 对 .mylogin.cnf 文件进行了混淆加密,因此无法直接明文读取;而且客户端程序对其内容进行解密后只在内存中进使用。通过这种方式,密码可以存储在一个非明文格式的文件中,随后可以使用这些加密密码,而不需要暴露在命令行参数或环境变量中。mysql_config_editor 提供了一个print
命令,用于显示登录路径文件的内容,不过即使是这种情况下,密码仍然是加密后的值,因此绝对不会泄露给其他用户。
mysql_config_editor 使用的混淆处理可以防止密码在 .mylogin.cnf 文件中作为明文存储,并且提供了一个防止秘密无意泄露的安全措施。例如,如果将 my.cnf 选项文件中的信息显示在屏幕上,其中包含的密码信息也就显露无遗了。对于 .mylogin.cnf 文件,则不会发生这种情况。 尽管如此,该文件使用的混淆加密并非牢不可破。获取了系统管理权限的用户可以通过某些方式解密 .mylogin.cnf 文件中的内容。
登录路径文件必须是当前用可读写的,同时其他用户无法访问该文件。否则,mysql_config_editor 将会忽略该文件,客户端程序也不会使用。
[root@mysql80 ~]# ls .mylogin.cnf -l
-rw-------. 1 root root 156 Dec 20 02:56 .mylogin.cnf
调用 mysql_config_editor 的命令如下:
shell> mysql_config_editor [program_options] command [command_options]
如果登录路径文件不存在, mysql_config_editor 将会创建该文件。
命令参数如下:
program_options
包含通用的 mysql_config_editor 选项。command
表示针对登录文件 .mylogin.cnf 执行的操作。例如,set
命令写入一个登录路径,remove
命令删除一个登录路径,而print
命令显示登录路径的内容。command_options
为命令指定额外的选项,例如登录路径的名称和登录路径的配置参数。程序参数中的命令名的位置非常重要。例如,以下命令具有相同的参数,但是结果并不相同:
shell> mysql_config_editor --help set
shell> mysql_config_editor set --help
第一行中的命令将会显示通用的 mysql_config_editor 帮助信息,并且忽略set
命令。第二行命令将会显示set
命令相关的帮助信息。
假设你想要创建一个登录路径 client,用于默认的连接参数,并且创建一个额外的登录路径 remote,用于连接主机 remote.example.com 上的 MySQL 服务器。你想要执行以下登录:
想要在.mylogin.cnf 文件中创建这些登录路径,可以使用以下set
命令。每个命令占用一行,并且在提示信息后输入正确的密码:
shell> mysql_config_editor set --login-path=client
--host=localhost --user=localuser --password
Enter password: # 在此输入密码 "localpass"
shell> mysql_config_editor set --login-path=remote
--host=remote.example.com --user=remoteuser --password
Enter password: 在此输入密码 "remotepass"
mysql_config_editor 默认使用 client 登录路径,因此在第一个命令中可以省略--login-path=client
选项。
如果想要查看 .mylogin.cnf 文件中的内容,可以使用print
命令:
shell> mysql_config_editor print --all
[client]
user = localuser
password = *****
host = localhost
[remote]
user = remoteuser
password = *****
host = remote.example.com
print
命令按组显示每个登录路径的信息,每个组以一个标题开始,标题即是登录路径名,使用方括号包含,然后是该登录路径的参数值。密码内容进行了加密,而不显示明文。
如果没有指定显示所有登录路径的--all
选项或者显示指定登录路径的--login-path=name
选项,print
命令将会显示名为 client 的登录路径(如果存在该登录路径的话)。
如上示例所示,登录路径文件中可以存储多个登录路径。通过这种方式,mysql_config_editor 可以很方便地为用户连接不同的 MySQL 服务器,或者为不同用户连接同一个 MySQL 服务器设置多个配置。随后在调用客户端程序时,可以通过--login-path
选项选择不同的登录路径。例如,使用以下命令可以连接到远程服务器:
shell> mysql --login-path=remote
此时,mysql
客户端将会从其他选项文件中读取 [client] 和 [mysql] 选项组,并且从登录路径文件中读取 [client]、[mysql] 以及 [remote] 选项组。
如果要连接本地服务器,可以使用以下命令:
shell> mysql --login-path=client
由于mysql
客户端默认就会读取 client 和 mysql 登录路径,此处的--login-path
选项不会增加任何内容。该命令等价于:
shell> mysql
从登录路径文件中读取的选项组比其他文件中的选项组优先级更高。在登录径文件内,后面的配置选项可以覆盖前面的配置。
mysql_config_editor 按照执行命令的顺序添加登录路径,因此应该先创建更通用的登录路径,然后在创建更具体的登录路径。如果想要在登录路径文件中移动某个登录路径,可以先删除,然后在重建添加到最后。例如,登录路径 client 更通用,因为所有的客户端程序都会读取该路径;而登录路径 mysqldump 只会被 mysqldump 程序读取。后面的配置选项可以覆盖前面的配置,因此,按照 client、mysqldump 顺序指定的配置使得 mysqldump 相关的选项将会覆盖 client 选项。
使用 mysql_config_editor 的set
命令创建登录路径时,不需要指定所有的选项值(主机名、用户名、密码、端口以及 socket )。可以为登录路径指定其中一部分选项值。任何连接所必须的参数可以连接 MySQL 服务器时再指定,可以通过其他选项文件或者在命令行中指定。命令行指定的选项比登录路径文件或其他选项文件优先级更高。例如,如果在登录路径 remote 中的参数也可以用于连接主机 remote2.example.com,可以使用以下命令连接到该主机上的服务器:
shell> mysql --login-path=remote --host=remote2.example.com
mysql_config_editor 通用选项
mysql_config_editor 支持以下通用选项,它们可以出现在任何其他命令之前。关于各种命令支持的特定选项,可以参考后文中的 mysql_config_editor 命令以及命令选项。
表 4.17 mysql_config_editor 通用选项
选项 | 描述 |
---|---|
--debug | 生成调试信息 |
--help | 显示帮助信息并退出 |
--verbose | 详细信息模式 |
--version | 显示版本信息并退出 |
--help, -?
显示通用的帮助信息并退出。
如果想要查看关于具体命令的帮助信息,可以使用以下方式的mysql_config_editor命令,其中的 command 是一个非help
的命令:
shell> mysql_config_editor command --help
--debug[=debug_options], -# debug_options
生成调试日志。一个典型的 debug_options 配置就是 d:t:o,file_name。默认值为 d:t:o,/tmp/mysql_config_editor.trace。
详细信息模式。显示更多的程序执行信息。该选项可以用于诊断问题。
显示版本信息并退出。
mysql_config_editor 命令以及命令选项
本节介绍 mysql_config_editor 支持的命令,以及每个命令相关的选项。
另外,mysql_config_editor 还支持一些通用的选项,在每个命令之前都可以指定。关于这些通用选项的描述,可以参考上面的 mysql_config_editor 通用选项。
mysql_config_editor 支持以下命令:
help
显示帮助信息并退出。该命令不支持其他选项。
如果想要查看关于具体命令的帮助信息,可以使用以下方式的mysql_config_editor命令,其中的 command 是一个非help
的命令:
shell> mysql_config_editor command --help
print [options]
以明文的形式显示登录路径的内容,不过密码总是显示为 *****。
如果没有指定要显示的登录路径,默认值为 client 。如果同时指定了--all
和--login-path
,生效的是--all
。
print
命令支持以下选项:
--help, -?
显示print
命令的帮助信息并退出。
要查看通用的帮助信息,使用mysql_config_editor --help
。
--all
显示所有的登录路径信息。
--login-path=name, -G name
显示指定的登录路径信息。
remove [options]
从登录路径文件中删除一个登录路径,或者从已有的登录路径中删除选项。
只有指定了--host
、--password
、--port
、--socket
、--user
选项,才会从登录路径中删除相应内容。如果没有指定任意以上选项,remove
将会删除整个登录路径。例如,以下命令从登录路径 mypath 中删除 user 选项,而不会删除整个登录路径:
shell> mysql_config_editor remove --login-path=mypath --user
以下命令删除登录路径 mypath :
shell> mysql_config_editor remove --login-path=mypath
remove
命令支持以下选项:
--help, -?
显示remove
命令的帮助信息并退出。
要查看通用的帮助信息,使用mysql_config_editor --help
。
--host, -h
删除登录路径中的主机名。
--login-path=name, -G name
指定要删除或修改的登录路径。如果没有指定,默认值为 client 。
--password, -p
删除登录路径中的密码。
--port, -P
删除登录路径中的 TCP/IP 端口号。
--socket, -S
删除登录路径中的 Unix socket 文件名。
--user, -u
删除登录路径中的用户名。
--warn, -w
如果尝试删除默认的登录路径(client),而没有指定--login-path=client
,将会警告并提示用户确认。默认启用警告提示;可以使用--skip-warn
关闭警告。
reset [options]
清空登录路径文件。
The reset
命令支持以下选项:
--help, -?
显示reset
命令的帮助信息并退出。
要查看通用的帮助信息,使用mysql_config_editor --help
。
set [options]
写入一个登录路径。
只有当选项为 --host
、--password
、--port
、--socket
或者--user
时才会写入登录路径。如果不包含任意以上参数,mysql_config_editor 将会写入一个的登录路径。
set
命令支持以下选项:
--help, -?
显示set
命令的帮助信息并退出。
要查看通用的帮助信息,使用mysql_config_editor --help
。
--host=host_name, -h host_name
写入登录路径中的主机名。
--login-path=name, -G name
创建的登录路径名称。如果没有指定,默认为client
。
--password, -p
提示输入一个密码。在 mysql_config_editor 显示提示信息后,输入密码并回车。为了防止其他用户看到输入的密码,mysql_config_editor 不会显示输入的内容。
如果要指定一个空的密码,直接输入回车。此时写入文件的登录路径将会包含一行类似以下的内容:
password =
--port=port_num, -P port_num
写入登录路径的 TCP/IP 端口号。
--socket=file_name, -S file_name
写入登录路径的 Unix socket 文件。例如,以下命令创建了一个使用 socket 登录的路径:
[root@mysql80 ~]# mysql_config_editor set --login-path=localroot --host=localhost --user=root --password --socket=/var/lib/mysql/mysql.sock
--user=user_name, -u user_name
写入登录路径的用户名。
--warn, -w
如果尝试覆盖一个已有的登录路径,将会警告并提示用户是否确认覆盖。默认启用告警提示;可以使用--skip-warn
关闭警告。
人生本来短暂,你又何必匆匆!点个赞再走吧!