MySQL:caching_sha2_password快速问答

一个报错

在使用客户端登录MySQL8.0时,我们经常会遇到下面这个报错:
ERROR 2061 (HY000): Authentication plugin 'caching_sha2_password' reported error: Authentication requires secure connection.
网络上很多帖子教我们将用户认证插件修改成 mysql_native_password 来解决,事实上这是怎么一回事呢?本文就来探讨一二。

caching_sha2_password 简介

caching_sha2_password 是MySQL 8.0.4引入的一个新的身份验证插件,它的特点被其命名揭露无疑:

  • sha2_password:其实就是 sha256_password,这是 MySQL5.6 就引入的身份验证插件,其优点是对加盐密码进行多轮 SHA256 哈希,以确保哈希转换更安全。其缺点为它要求使用安全连接或使用 RSA 密钥对进行密码交换的未加密连接,因此其身份验证的效率较低。
  • caching:在 sha256_password 的基础上增加缓存,有缓存的情况下不需要加密连接或 RSA 密钥对,已达到安全和效率并存。

其实上面这个介绍不太容易懂,下面我们以问答方式来揭开 caching_sha2_password 的面纱。

Q:要求使用安全连接或使用 RSA 密钥对进行密码交换的未加密连接是什么意思?

caching_sha2_password 对密码安全性要求更高,要求用户认证过程中在网络传输的密码是加密的:

  • 如果是 SSL 加密连接,则使用 SSL 证书和密钥对来完成 "对称加密密钥对(在TSL握手中生成)" 的交换,后续使用“对称加密密钥对” 加密密码和数据。具体见:MySQL:SSL 连接浅析;
  • 如果是非 SSL 加密连接,则在连接建立时客户端使用 MySQL Server 端的 RSA 公钥加密用户密码,Server 端使用 RSA 私钥解密验证密码的正确性,可以防止密码在网络传输时被窥探。

tips:SSL加密连接会不止会加密用户密码,还会加密数据(SQL请求、返回的结果);非加密连接只使用 RSA 密钥对进行用户密码的加密。

Q:未加密连接是怎么使用 RSA 密钥对进行密码交换的?

当用户验证成功后,会把用户密码哈希缓存起来。新连接客户端发起登录请求时,MySQL Server 端会判断是否命中缓存,如果没有缓存,对于未加密的连接,caching_sha2_password 插件要求连接建立时使用 RSA 进行加密密码交换,否则报错,其过程为:

  • 客户端如果拥有服务端的 RSA 公钥,则使用 --server-public-key-path 选项指定 RSA 公钥文件;
  • 客户端使用 RSA 公钥对用户密码进行加密,请求连接;
  • 服务端使用 RSA 私钥进行解密,验证密码的正确性。

如果客户端没有保存服务端的 RSA 公钥文件,也可以使用 --get-server-public-key 选项从服务器请求公钥,则在建立连接时,服务端会先将 RSA 公钥发送给客户端。

如果 --server-public-key-path、--get-server-public-key 都没有指定,则会报下面这个经典的错误:

[root@172-16-21-5 ~] mysql -h172.16.21.4 -utest -ptestpass --ssl-mode=disable
mysql: [Warning] Using a password on the command line interface can be insecure.
ERROR 2061 (HY000): Authentication plugin 'caching_sha2_password' reported error: Authentication requires secure connection.

指定 --get-server-public-key 则能成功登录:

[root@172-16-21-5 ~] mysql -h172.16.21.4 -utest -ptestpass --ssl-mode=disable --get-server-public-key -e "select 1"
mysql: [Warning] Using a password on the command line interface can be insecure.
+---+
| 1 |
+---+
| 1 |
+---+

如果 test 用户登陆成功,有了缓存,则下次认证时未加密连接不再要求使用 RSA 密钥对:

[root@172-16-21-5 ~] mysql -h172.16.21.4 -utest -ptestpass --ssl-mode=disable -e "select 1"
mysql: [Warning] Using a password on the command line interface can be insecure.
+---+
| 1 |
+---+
| 1 |
+---+

注意:上述客户端是指 mysql 默认命令行客户端,--server-public-key-path、--get-server-public-key 参数也只适用于 mysql 客户端

Q:RSA 密钥对保存在哪里?

RSA密钥对默认保存在MySQL的 datadir 下,用于非 SSL 连接时的密码加密交换:使用RSA公钥加密密码,使用RSA私钥解密:

private_key.pem      RSA公钥
public_key.pem       RSA私钥

Q:密码哈希缓存何时失效?

当用户验证成功后,密码哈希会缓存起来,缓存会在以下情况被清理:

  • 当用户的密码被更改时;
  • 当使用 RENAME USER 重命名用户时;
  • 执行 FLUSH PRIVILEGES 时;
  • MySQL重启。

Q:复制用户使用 caching_sha2_password 插件需要注意什么?

对于MGR,如果设置 group_replication_ssl_mode=DISABLED,则也必须使用下面的变量来指定 RSA 公钥,否则报错:

  • group_replication_recovery_get_public_key:向服务端请求 RSA 公钥;
  • group_replication_recovery_public_key_path:指定本地 RSA 公钥文件。

设置一个就行,考虑拷贝 RSA 公钥到各节点麻烦,建议设置 group_replication_recovery_get_public_key=ON。

对于异步/半同步复制,需要在 change master 命令中指定:MASTER_PUBLIC_KEY_PATH = 'key_file_path'GET_MASTER_PUBLIC_KEY = {0|1}

含义同上,建议:GET_MASTER_PUBLIC_KEY = 1

参考资料

https://dev.mysql.com/blog-archive/mysql-8-0-4-new-default-authentication-plugin-caching_sha2_password/
https://dev.mysql.com/doc/refman/8.0/en/caching-sha2-pluggable-authentication.html

你可能感兴趣的:(MySQL:caching_sha2_password快速问答)