harumaki.net

インフラ屋の覚書や、ラーメン食べある記とか。

GNU/Linux MySQL ssh メモ

mysql sshトンネリングでの暗号化接続をさくっと試す

投稿日:2013年9月27日

リモートホストのMySQLサーバーへアクセスする際に、クライアント – サーバー間の通信を暗号化する方法をかるく検証。
(MySQLのDBスキーマやテーブルの暗号化ではない)

方法としてはベタな感じだけど、手っ取り早く以下の2パターンで。

  1. sshでトンネリングした状態でmysqlへ接続
  2. SSLでmysqlへのセッションから暗号化する

【1.ssh】

sshでのポートフォワーディングによるmysqlのコネクション暗号化

ポイント

  • おもにssh接続の設定作業なるので、接続先のDBサーバー側は原則として設定変更しなくてもOK
  • ローカル側でトンネリング用のsshを立ち上げることになるので、バックグラウンドで実行する
    オプション("-f")をつけること。

テストで使用した設定

  • 接続元ホスト
     IP 192.168.254.32
     sshポート 22
     DBサーバーへの接続用sshポート 23306(→DBサーバーの3306番へアクセスする)
  • 接続先DBサーバー 
    IP		192.168.254.64
ログインユーザー	user
sshポート	22
mysqlポート	3306

1)トンネリング設定

接続元ホスト側で接続先DBサーバーのポートフォワーディングを設定

$ ssh -f -N -L 23306:localhost:3306 [email protected] -p 22
  • [オプション解説]
     -f バックグラウンドで実行
     -N リモート・ホストでのコマンドを許可しない。※ポート転送をするときに指定すること。
     -L ローカル側のポート転送機能を利用する
  • [ポート解説]
    ローカルホスト(接続元)の23306へアクセス→DBサーバーの3306番へアクセス
    トンネリング先となるDBサーバーのsshのポートとして、22番を指定

実行後、プロセスとポートを確認。

$ ps -aef | grep "ssh -f" | grep -v grep
user    8650     1  0 13:14 ?        00:00:00 ssh -f -N -C -L 23306:localhost:3306 [email protected] -p 22
$
$ netstat -ln | grep 23306
tcp        0      0 127.0.0.1:23306             0.0.0.0:*                   LISTEN
tcp        0      0 ::1:23306                   :::*                        LISTEN

2)接続確認

ローカルホストの23306番を指定し、DBサーバーへ接続。

$ mysql -u testschema_user -p testschema -h 127.0.0.1 --port=23306
Enter password:
Welcome to the MySQL monitor.  Commands end with ; or \g.
Your MySQL connection id is 13
Server version: 5.1.69-log Source distribution

Copyright (c) 2000, 2011, Oracle and/or its affiliates. All rights reserved.

Oracle is a registered trademark of Oracle Corporation and/or its
affiliates. Other names may be trademarks of their respective
owners.

Type 'help;' or '\h' for help. Type '\c' to clear the current input statement.
	
mysql> show tables;
+----------------------+
| Tables_in_testschema |
+----------------------+
| tbl_testschema       |
+----------------------+
1 row in set (0.03 sec)

→接続成功。

【2.ssl】

sslの鍵交換による暗号化をささっと。

ポイント

  • SSLの認証が発生するので、クライアント側に秘密鍵、DBサーバー側に証明書が必要。
    またピアノード間で使用するCAが必要。

テストで使用した設定

CA		ca-cert.pem
秘密鍵		server-key.pem
証明書		server-cert.pem

1)mysqlの状態を確認

mysql> SHOW VARIABLES LIKE '%ssl%';
+---------------+----------+
| Variable_name | Value    |
+---------------+----------+
| have_openssl  | DISABLED |	←ここ
| have_ssl      | DISABLED |	←ここ
| ssl_ca        |          |
| ssl_capath    |          |
| ssl_cert      |          |
| ssl_cipher    |          |
| ssl_key       |          |
+---------------+----------+
7 rows in set (0.00 sec)

SSL接続が有効になっていないことを確認。

2)SSL環境設定

  1. SSL証明書関連の保管先ディレクトリを作成。
    ひとまずmysql.dというディレクトリを作成。

    # mkdir /etc/mysql.d
  2. CA のキーを生成 
    # openssl req -new -x509 -nodes -days 365 -key ca-key.pem -out ca-cert.pem
	---
	Country Name (2 letter code) [XX]:JP
	State or Province Name (full name) []:Tokyo
	Locality Name (eg, city) [Default City]:dokokano-Ku
	Organization Name (eg, company) [Default Company Ltd]:hogehoge
	Organizational Unit Name (eg, section) []:system
	Common Name (eg, your name or your server's hostname) []:localhost.localdomain
	Email Address []:[email protected]
  3. MySQL サーバーの秘密鍵と CSR の作成 
    # openssl req -newkey rsa:2048 -days 365 -nodes -keyout server-key.pem -out server-req.pem
	-----
	Country Name (2 letter code) [XX]:JP
	State or Province Name (full name) []:Tokyo
	Locality Name (eg, city) [Default City]:dokokano-Ku
	Organization Name (eg, company) [Default Company Ltd]:hogehoge
	Organizational Unit Name (eg, section) []:system
	Common Name (eg, your name or your server's hostname) []:localhost.localdomain
	Email Address []:[email protected]
	
	Please enter the following 'extra' attributes
	to be sent with your certificate request
	A challenge password []:
	An optional company name []:
  4. MySQL サーバーの証明書作成 
    	# openssl x509 -req -in server-req.pem -days 365 -CA ca-cert.pem -CAkey ca-key.pem -out server-cert.pem -set_serial 01
	Signature ok
	subject=/C=JP/ST=Tokyo/L=dokokano-Ku/O=hogehoge/OU=system/CN=localhost.localdomain/[email protected]
	Getting CA Private Key
  5. my.cnf へ設定追加 
    # cp -p my.cnf my.cnf.20130927
# vi my.cnf
    • 設定内容 
      	[mysqld]
	# SSL configuration
	ssl-ca=/etc/mysql.d/ca-cert.pem
	ssl-cert=/etc/mysql.d/server-cert.pem
	ssl-key=/etc/mysql.d/server-key.pem
  6. MySQL の再起動を行う 
    # /etc/init.d/mysqld restart
  7. SSL設定の適用を確認
    mysql> SHOW VARIABLES LIKE ‘%ssl%’;

    	+---------------+------------------------------+
	| Variable_name | Value                        |
	+---------------+------------------------------+
	| have_openssl  | YES                          |
	| have_ssl      | YES                          |
	| ssl_ca        | /etc/mysql.d/ca-cert.pem     |
	| ssl_capath    |                              |
	| ssl_cert      | /etc/mysql.d/server-cert.pem |
	| ssl_cipher    |                              |
	| ssl_key       | /etc/mysql.d/server-key.pem  |
	+---------------+------------------------------+
	7 rows in set (0.01 sec)

3)クライアント側からの設定(ローカル)

GRANT実行時にオプション"REQUIRE SSL"をつける。

	mysql> GRANT ALL PRIVILEGES ON testschema.* TO [email protected] IDENTIFIED BY 'PASSWORD' REQUIRE SSL;
	mysql> flush privileges;

接続テスト

	# mysql -h localhost -u testuser --ssl-ca=/etc/mysql.d/server-cert.pem -p testschema
	Enter password:
	Welcome to the MySQL monitor.  Commands end with ; or \g.
	
	mysql>

→ログインは成功。

SSLの接続状態を確認
 mysql> show status like’Ssl_cipher’;

	+---------------+--------------------+
	| Variable_name | Value              |
	+---------------+--------------------+
	| Ssl_cipher    | DHE-RSA-AES256-SHA |
	+---------------+--------------------+
	1 row in set (0.00 sec)

mysql>

4)クライアント側からの設定(リモート)

サーバー証明書をリモートホストに転送してから、同様に接続を行うこと。

  1. DBサーバー側にリモートホスト(クライアント)からの接続用アカウントを作成
    クライアントのIPは192.168.254.32。

    	mysql> GRANT ALL PRIVILEGES ON *.* TO [email protected] IDENTIFIED BY 'PASSWORD' REQUIRE SSL;
	mysql> flush privileges;
  2. クライアント側に証明書を作成
    ※SCPで転送してもOK。

    	$ mkdir mysql.d
	$ cd mysql.d/
	$ touch server-cert.pem
	$ vi server-cert.pem
  3. 接続テスト 
    	$ mysql -h 192.168.254.64 -u testuser --ssl-ca=server-cert.pem -p testschema
	Enter password:
	Welcome to the MySQL monitor.  Commands end with ; or \g.
	
	mysql>

    →ログインは成功。

  4. SSLの接続状態を確認 
    	mysql> show status like'Ssl_cipher';
	+---------------+--------------------+
	| Variable_name | Value              |
	+---------------+--------------------+
	| Ssl_cipher    | DHE-RSA-AES256-SHA |
	+---------------+--------------------+
	1 row in set (0.03 sec)
	
	mysql>

あとはローカル、リモートでそれぞれ暗号化通信を確認できればOK。
今回はこんな感じで。

 

OpenSSH[実践]入門 Software Design plus
OpenSSH[実践]入門 Software Design plus

posted with amazlet at 14.12.23
技術評論社 (2014-11-05)
売り上げランキング: 42,575
Amazon.co.jpで詳細を見る

 

実用SSH 第2版―セキュアシェル徹底活用ガイド
実用SSH 第2版―セキュアシェル徹底活用ガイド

posted with amazlet at 14.12.23
Daniel J. Barrett Richard E. Silverman Robert G. Byrnes
オライリー・ジャパン
売り上げランキング: 198,635
Amazon.co.jpで詳細を見る

 

Related posts:

  1. [MySQL]mysqlのGRANT情報を抜粋するシェルスクリプト
  2. [MySQL] mysqlhotcopyを試してみた
  3. [MySQL]db接続エラーのメモ(max_connectionsメモ)
  4. [メモ]mysql​/ステータス確認

-GNU/Linux, MySQL, ssh, メモ
-,

執筆者:

comment

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

CAPTCHA


関連記事

nagiosgraph​/4.グラフ設定例​/check_mem_pl

&topicpath; nagiosgraphへのグラフ設定追加例[check_mem.pl] 1)コマンド実行結果を確認 2)ログ出力を確認 3)map定義を作成/編集 4)書式チェック n …

nagios core​/3.監視対象設定

※編集中 Related posts: nagios core​/1.インストール nagios core​/2.環境設定 nagios​/plugin​/nagios exchange[メモ] na …

no image

net-snmp snmpd.logの設定を追加、変更

某VPSサービスで借りた仮想サーバーでsnmpdを動かしたところ、ログがどこにも出ていなかったのでログ出力設定を追加。 たまたまだと思いつつ、設定状況は環境によって様々だと思うので、ひとまず要点をいろ …

no image

courier-mta+phpcourier

courier-mta+phpcourier 参照サイト 構築環境 パッケージのビルドとインストール 環境設定[初期設定] 設定DBの更新 デーモン設定 Maildir設定 phpcourierのイン …

no image

netscreenのコンフィグバックアップスクリプト(telnet編)

会社のNetscreenのコンフィグを、Linuxサーバー側からtelnetでアクセスしたのち tftpを使ってdailyでバックアップする、やや回りくどいスクリプト。 とりあえずLANなのでteln …

PREV
今日のラーメン:博多吉もん(自由が丘)
NEXT
今日のラーメン:まるげんラーメン(横須賀) 和風ラーメンを頼んでみた

サイト内検索

スポンサーリンク

カテゴリー

タグ

apache AWS DB GNU/Linux HAProxy HP ProLiant MicroServer infra Juniper LIVE mysql nagios network nginx postfix ssl thinkpad Web つけ麺 サーバー監視 ランチ ラーメン 三浦・三崎 中野・方南町 五反田・大崎 伊勢佐木町・黄金町 六本木・麻布 品川・大井町 坦々麺 家系 川崎 弘明寺・井土ヶ谷 新橋・虎ノ門 東神奈川・白楽 横浜 横須賀 沖縄 油そば 渋谷 目黒 自由が丘 蒲田・大森 藤沢 表参道・青山 銀座 鎌倉・逗子

アーカイブ

メタ情報