harumaki.net

インフラ屋の覚書や、ラーメン食べある記とか。

GNU/Linux MySQL ssh メモ

mysql sshトンネリングでの暗号化接続をさくっと試す

投稿日:2013年9月27日

リモートホストのMySQLサーバーへアクセスする際に、クライアント – サーバー間の通信を暗号化する方法をかるく検証。
(MySQLのDBスキーマやテーブルの暗号化ではない)

方法としてはベタな感じだけど、手っ取り早く以下の2パターンで。

  1. sshでトンネリングした状態でmysqlへ接続
  2. SSLでmysqlへのセッションから暗号化する

【1.ssh】

sshでのポートフォワーディングによるmysqlのコネクション暗号化

ポイント

  • おもにssh接続の設定作業なるので、接続先のDBサーバー側は原則として設定変更しなくてもOK
  • ローカル側でトンネリング用のsshを立ち上げることになるので、バックグラウンドで実行する
    オプション("-f")をつけること。

テストで使用した設定

  • 接続元ホスト
     IP 192.168.254.32
     sshポート 22
     DBサーバーへの接続用sshポート 23306(→DBサーバーの3306番へアクセスする)
  • 接続先DBサーバー 
    IP		192.168.254.64
ログインユーザー	user
sshポート	22
mysqlポート	3306

1)トンネリング設定

接続元ホスト側で接続先DBサーバーのポートフォワーディングを設定

$ ssh -f -N -L 23306:localhost:3306 [email protected] -p 22
  • [オプション解説]
     -f バックグラウンドで実行
     -N リモート・ホストでのコマンドを許可しない。※ポート転送をするときに指定すること。
     -L ローカル側のポート転送機能を利用する
  • [ポート解説]
    ローカルホスト(接続元)の23306へアクセス→DBサーバーの3306番へアクセス
    トンネリング先となるDBサーバーのsshのポートとして、22番を指定

実行後、プロセスとポートを確認。

$ ps -aef | grep "ssh -f" | grep -v grep
user    8650     1  0 13:14 ?        00:00:00 ssh -f -N -C -L 23306:localhost:3306 [email protected] -p 22
$
$ netstat -ln | grep 23306
tcp        0      0 127.0.0.1:23306             0.0.0.0:*                   LISTEN
tcp        0      0 ::1:23306                   :::*                        LISTEN

2)接続確認

ローカルホストの23306番を指定し、DBサーバーへ接続。

$ mysql -u testschema_user -p testschema -h 127.0.0.1 --port=23306
Enter password:
Welcome to the MySQL monitor.  Commands end with ; or \g.
Your MySQL connection id is 13
Server version: 5.1.69-log Source distribution

Copyright (c) 2000, 2011, Oracle and/or its affiliates. All rights reserved.

Oracle is a registered trademark of Oracle Corporation and/or its
affiliates. Other names may be trademarks of their respective
owners.

Type 'help;' or '\h' for help. Type '\c' to clear the current input statement.
	
mysql> show tables;
+----------------------+
| Tables_in_testschema |
+----------------------+
| tbl_testschema       |
+----------------------+
1 row in set (0.03 sec)

→接続成功。

【2.ssl】

sslの鍵交換による暗号化をささっと。

ポイント

  • SSLの認証が発生するので、クライアント側に秘密鍵、DBサーバー側に証明書が必要。
    またピアノード間で使用するCAが必要。

テストで使用した設定

CA		ca-cert.pem
秘密鍵		server-key.pem
証明書		server-cert.pem

1)mysqlの状態を確認

mysql> SHOW VARIABLES LIKE '%ssl%';
+---------------+----------+
| Variable_name | Value    |
+---------------+----------+
| have_openssl  | DISABLED |	←ここ
| have_ssl      | DISABLED |	←ここ
| ssl_ca        |          |
| ssl_capath    |          |
| ssl_cert      |          |
| ssl_cipher    |          |
| ssl_key       |          |
+---------------+----------+
7 rows in set (0.00 sec)

SSL接続が有効になっていないことを確認。

2)SSL環境設定

  1. SSL証明書関連の保管先ディレクトリを作成。
    ひとまずmysql.dというディレクトリを作成。

    # mkdir /etc/mysql.d
  2. CA のキーを生成 
    # openssl req -new -x509 -nodes -days 365 -key ca-key.pem -out ca-cert.pem
	---
	Country Name (2 letter code) [XX]:JP
	State or Province Name (full name) []:Tokyo
	Locality Name (eg, city) [Default City]:dokokano-Ku
	Organization Name (eg, company) [Default Company Ltd]:hogehoge
	Organizational Unit Name (eg, section) []:system
	Common Name (eg, your name or your server's hostname) []:localhost.localdomain
	Email Address []:[email protected]
  3. MySQL サーバーの秘密鍵と CSR の作成 
    # openssl req -newkey rsa:2048 -days 365 -nodes -keyout server-key.pem -out server-req.pem
	-----
	Country Name (2 letter code) [XX]:JP
	State or Province Name (full name) []:Tokyo
	Locality Name (eg, city) [Default City]:dokokano-Ku
	Organization Name (eg, company) [Default Company Ltd]:hogehoge
	Organizational Unit Name (eg, section) []:system
	Common Name (eg, your name or your server's hostname) []:localhost.localdomain
	Email Address []:[email protected]
	
	Please enter the following 'extra' attributes
	to be sent with your certificate request
	A challenge password []:
	An optional company name []:
  4. MySQL サーバーの証明書作成 
    	# openssl x509 -req -in server-req.pem -days 365 -CA ca-cert.pem -CAkey ca-key.pem -out server-cert.pem -set_serial 01
	Signature ok
	subject=/C=JP/ST=Tokyo/L=dokokano-Ku/O=hogehoge/OU=system/CN=localhost.localdomain/[email protected]
	Getting CA Private Key
  5. my.cnf へ設定追加 
    # cp -p my.cnf my.cnf.20130927
# vi my.cnf
    • 設定内容 
      	[mysqld]
	# SSL configuration
	ssl-ca=/etc/mysql.d/ca-cert.pem
	ssl-cert=/etc/mysql.d/server-cert.pem
	ssl-key=/etc/mysql.d/server-key.pem
  6. MySQL の再起動を行う 
    # /etc/init.d/mysqld restart
  7. SSL設定の適用を確認
    mysql> SHOW VARIABLES LIKE ‘%ssl%’;

    	+---------------+------------------------------+
	| Variable_name | Value                        |
	+---------------+------------------------------+
	| have_openssl  | YES                          |
	| have_ssl      | YES                          |
	| ssl_ca        | /etc/mysql.d/ca-cert.pem     |
	| ssl_capath    |                              |
	| ssl_cert      | /etc/mysql.d/server-cert.pem |
	| ssl_cipher    |                              |
	| ssl_key       | /etc/mysql.d/server-key.pem  |
	+---------------+------------------------------+
	7 rows in set (0.01 sec)

3)クライアント側からの設定(ローカル)

GRANT実行時にオプション"REQUIRE SSL"をつける。

	mysql> GRANT ALL PRIVILEGES ON testschema.* TO [email protected] IDENTIFIED BY 'PASSWORD' REQUIRE SSL;
	mysql> flush privileges;

接続テスト

	# mysql -h localhost -u testuser --ssl-ca=/etc/mysql.d/server-cert.pem -p testschema
	Enter password:
	Welcome to the MySQL monitor.  Commands end with ; or \g.
	
	mysql>

→ログインは成功。

SSLの接続状態を確認
 mysql> show status like’Ssl_cipher’;

	+---------------+--------------------+
	| Variable_name | Value              |
	+---------------+--------------------+
	| Ssl_cipher    | DHE-RSA-AES256-SHA |
	+---------------+--------------------+
	1 row in set (0.00 sec)

mysql>

4)クライアント側からの設定(リモート)

サーバー証明書をリモートホストに転送してから、同様に接続を行うこと。

  1. DBサーバー側にリモートホスト(クライアント)からの接続用アカウントを作成
    クライアントのIPは192.168.254.32。

    	mysql> GRANT ALL PRIVILEGES ON *.* TO [email protected] IDENTIFIED BY 'PASSWORD' REQUIRE SSL;
	mysql> flush privileges;
  2. クライアント側に証明書を作成
    ※SCPで転送してもOK。

    	$ mkdir mysql.d
	$ cd mysql.d/
	$ touch server-cert.pem
	$ vi server-cert.pem
  3. 接続テスト 
    	$ mysql -h 192.168.254.64 -u testuser --ssl-ca=server-cert.pem -p testschema
	Enter password:
	Welcome to the MySQL monitor.  Commands end with ; or \g.
	
	mysql>

    →ログインは成功。

  4. SSLの接続状態を確認 
    	mysql> show status like'Ssl_cipher';
	+---------------+--------------------+
	| Variable_name | Value              |
	+---------------+--------------------+
	| Ssl_cipher    | DHE-RSA-AES256-SHA |
	+---------------+--------------------+
	1 row in set (0.03 sec)
	
	mysql>

あとはローカル、リモートでそれぞれ暗号化通信を確認できればOK。
今回はこんな感じで。

 

OpenSSH[実践]入門 Software Design plus
OpenSSH[実践]入門 Software Design plus

posted with amazlet at 14.12.23
技術評論社 (2014-11-05)
売り上げランキング: 42,575
Amazon.co.jpで詳細を見る

 

実用SSH 第2版―セキュアシェル徹底活用ガイド
実用SSH 第2版―セキュアシェル徹底活用ガイド

posted with amazlet at 14.12.23
Daniel J. Barrett Richard E. Silverman Robert G. Byrnes
オライリー・ジャパン
売り上げランキング: 198,635
Amazon.co.jpで詳細を見る

 

Related posts:

  1. [MySQL]mysqlのGRANT情報を抜粋するシェルスクリプト
  2. [MySQL] mysqlhotcopyを試してみた
  3. [MySQL]db接続エラーのメモ(max_connectionsメモ)
  4. [メモ]mysql​/ステータス確認

-GNU/Linux, MySQL, ssh, メモ
-,

執筆者:

comment

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

CAPTCHA


関連記事

no image

インフラ運用の心得:最低限やっておくこと

インフラ運用に最低限やっておくこと 1)ドキュメント作成 2)ログ 3)バックアップ/データ 4)バックアップ/ハード 5)バックアップ/ネットワーク機器 6)監視 /トラブルシュート 7)ネットワー …

no image

サーバ運用でよく使うスクリプト(netstat)

最近ご無沙汰なのでシェルの書式を忘れてきた…ということで自分用に備忘録。 – netstatでステータスが”ESTABLISHED”のセッションを一覧表示し、1秒更 …

[AWS] EC2からS3へのファイル転送時間をコマンド別に軽くレポート

本日までに試した、EC2→S3へのファイル転送時間をコマンド別にそれぞれ簡単に比較・テストしてみたので、以下にまとめ。 それぞれ5回試してみたうちの、速度がもっとも速かったものを以下に記載。今後の参考 …

[AWS]ただのメモ:rightscaleのCentOSでなぜかyum updateが動かない、と思ったら

EC2にてrightscaleのCentOSにセキュリティパッチをあてるため”yum update”をしておこうとしたら、”No Packages marked f …

[DB]FireBirdをインストールしてみた(ソース編)

こちらはソース版のインストールメモです。 インストール ダウンロードと展開 ひとまずソースで丸ごと。 $ mkdir src $ wget http://sourceforge.net/project …

PREV
今日のラーメン:博多吉もん(自由が丘)
NEXT
今日のラーメン:まるげんラーメン(横須賀) 和風ラーメンを頼んでみた

サイト内検索

スポンサーリンク

カテゴリー

タグ

apache AWS DB GNU/Linux HAProxy HP ProLiant MicroServer infra Juniper lenovo LIVE mysql nagios network nginx postfix ssl thinkpad Web つけ麺 サーバー監視 ランチ ラーメン 五反田・大崎 伊勢佐木町・黄金町 六本木・麻布 品川・大井町 坦々麺 家系 川崎 弘明寺・井土ヶ谷 新橋・虎ノ門 東神奈川・白楽 横浜 横須賀 沖縄 油そば 渋谷 目黒 磯子・杉田 自由が丘 蒲田・大森 蕎麦 藤沢 金沢八景・文庫 銀座

アーカイブ

メタ情報