SSL(Secure Socket Layer: 安全套接字) 利用数据加密,身份验证和消息完整性验证机制,为基于TCP等可靠连接的应用层协议。
SSL协议提供的功能主要有:
如果用户的传输不是通过SSL的方式,那么其在网络中数据都是以明文进行传输的。
在数据库方面,客户端连接服务器使用SSL连接,能加密通信数据。
总的来说,MySQL 8 的 SSL 功能可以帮助用户更安全地管理数据库,提高数据安全性。
--ssl-mode
是 MySQL 命令行客户端的一个选项,用于指定 SSL/TLS 连接的模式。
它有四个可能的值:
DISABLED
:禁用 SSL
REQUIRED
:必须使用 SSL
VERIFY_CA
:验证CA
VERIFY_IDENTITY
:验证身份
在连接到远程 MySQL 服务器时,需要保护敏感信息和数据的安全性,因此应使用 SSL 来加密通信。
而为了提供最高级别的信任和安全性
,应将--ssl-mode
设置为REQUIRED
。
--ssl-mode REQUIRED
是MySQL8
中最高安全级别
,它要求客户端必须使用加密 SSL/TLS
连接到服务器,并验证服务器的身份。
而 --ssl-mode VERIFY_IDENTITY
不强制要求加密 SSL/TLS
连接,它仅检查并验证服务器证书
,因此不如 --ssl-mode REQUIRED 安全
。
这意味着 MySQL 客户端将试图建立 SSL 连接,并且如果无法建立 SSL 连接,则不会连接到 MySQL 服务器,从而确保只有通过 SSL 连接才能访问数据库。
详细解释如下:
REQUIRED
要求所有 MySQL 客户端必须通过 TLS 密码套件建立与数据库服务器之间的连接,以提供最高级别
的信任和安全性
。。
VERIFY_IDENTITY
选项要求 MySQL 客户端验证数据库服务器的身份,并持有与其授予一致的主机名或 IP 地址。但如果数据库服务器使用自签名证书,则可能会由于无法在公钥基础架构中下载到 CRL 和 OCSP 响应而交予妥协项,从而使校验变得不安全。
PREFERRED
标志允许客户端建议并尝试进行 SSL 连接,但不需要建立 SSL 连接。如果 MySQL 客户端请求未加密连接时,服务器会回答该请求。
VERIFY_CA
在服务器端上对客户端启用 SSL 协议,并确保 SSL 连接是在根证书颁发机构的颁发证书上建立的,而且客户端提供了匹配考验的专业证书,非常适合客户端软件的验信标准很高或者要求传输数据增强保护的情况。
# 安装openssl依赖包
dnf install -y openssl
# 查看openssl版本
openssl version
# 生成SSL连接所需要的RSA密钥对
## datadir 指定数据库文件鹿筋
## user和uid 指定运行mysql_ssl_rsa_setup命令的用户
mysql_ssl_rsa_setup --datadir=/var/lib/mysql --user=mysql --uid=mysql
# 默认执行即可
mysqld_ssl_rsa_setup
## -vvv 详细,debug模式
会自动在datadir
目录下创建下面的证书文件
https://blog.csdn.net/Sn_Keys/article/details/126425869
[mysqld]
# 指定CA证书公钥文件的路径
ssl-ca=/path/to/ca.pem
# 指定mysql服务器证书的路径
ssl-cert=/path/to/server_cert.pem
# 指定mysql服务器证书的私钥路径
ssl-key=/path/to/server_key.pem
[client]
# 指定CA证书公钥文件的路径
ssl-ca=/path/to/ca.pem
# 指定mysql客户端证书的路径
ssl-cert=/path/to/client_cert.pem
# 指定mysql客户端证书的私钥路径
ssl-key=/path/to/client_key.pem
重启mysql服务
# 重启mysql服务
systemctl restart mysqld
-- 检查数据库是否启用SSL
show variables LIKE 'have_SSl';
-- 查看全局变量中包含"SSL"字符的所有变量名和值
show global variables LIKE '%SSL%';
-- 查看tls安全传输版本
show global variables LIKE 'tls_version';
从 MySQL5.7.35
开始,不推荐使用 TLSv1
和 TLSv1.1
连接协议
-- 创建用户
CREATE USER 用户名@'%' IDENTIFIED BY '表名';
-- 给用户授权
GRANT ALL ON *.* TO 用户名@'%';
-- 应用权限配置
FLUSH PRIVILEGES;
-- 查看用户权限
SELECT user,host,ssl_type,ssl_cipher FROM mysql.user;
REQUIRE SSL
强制要求客户端使用 SSL/TLS加密协议
与服务器进行通信
REQUIRE X509
强制要求客户端不仅要使用 SSL/TLS连接
,而且还需要提供一个有效的 x509证书
。在使用 REQUIRE X509
时,MySQL 服务器会验证客户端提供的证书是否是受信任
的,并且该证书是否匹配已经注册的用户帐户
中的证书
。
-- require ssl 强制用户使用证书认证
CREATE USER 用户名@'%' IDENTIFIED BY '表名' require ssl;
-- require x509 强制用户使用证书认证
CREATE USER 用户名@'%' IDENTIFIED BY '表名' require x509;
-- 给用户授权
GRANT ALL ON *.* TO 用户名@'%';
-- 应用权限配置
FLUSH PRIVILEGES;
-- 查看用户权限
SELECT user,host,ssl_type,ssl_cipher FROM mysql.user;
-- 设置强制ssl
alter user user0001@'%' require ssl;
-- 取消强制ssl
alter user user0001@'%' require none;
# --ssl-mode=disable: 表示关闭SSL加密模式
mysql -uroot -p --ssl-mode=disable
# 登录mysql后查看加密模式
mysql> status;
# --ssl-mode=required: 表示强制开启SSL加密模式
mysql -uroot -p --ssl-mode=required
-- 登录mysql后查看加密模式
status;
# 指定CA证书及客户端证书及私钥
mysql -uroot -p --ssl-ca=/var/lib/mysql/ca.pem \
--ssl-cert=/var/lib/mysql/client-cert.pem \
--ssl-key=/var/lib/mysql/client-key.pem
文章浏览阅读101次。4.class可以有⽆参的构造函数,struct不可以,必须是有参的构造函数,⽽且在有参的构造函数必须初始。2.Struct适⽤于作为经常使⽤的⼀些数据组合成的新类型,表示诸如点、矩形等主要⽤来存储数据的轻量。1.Class⽐较适合⼤的和复杂的数据,表现抽象和多级别的对象层次时。2.class允许继承、被继承,struct不允许,只能继承接⼝。3.Struct有性能优势,Class有⾯向对象的扩展优势。3.class可以初始化变量,struct不可以。1.class是引⽤类型,struct是值类型。
文章浏览阅读586次。想实现的功能是点击顶部按钮之后按关键字进行搜索,已经可以从服务器收到反馈的json信息,但从json信息的解析开始就会闪退,加载listview也不知道行不行public abstract class loadlistview{public ListView plv;public String js;public int listlength;public int listvisit;public..._rton转json为什么会闪退
文章浏览阅读219次。如何使用wordnet词典,得到英文句子的同义句_get_synonyms wordnet
文章浏览阅读521次。系统项目报表导出 导出任务队列表 + 定时扫描 + 多线程_积木报表 多线程
文章浏览阅读1.1k次,点赞9次,收藏9次。使用AJAX技术的好处之一是它能够提供更好的用户体验,因为它允许在不重新加载整个页面的情况下更新网页的某一部分。另外,AJAX还使得开发人员能够创建更复杂、更动态的Web应用程序,因为它们可以在后台与服务器进行通信,而不需要打断用户的浏览体验。在Web开发中,AJAX(Asynchronous JavaScript and XML)是一种常用的技术,用于在不重新加载整个页面的情况下,从服务器获取数据并更新网页的某一部分。使用AJAX,你可以创建异步请求,从而提供更快的响应和更好的用户体验。_ajax 获取http数据
文章浏览阅读2.8k次。登录退出、修改密码、关机重启_字符终端
文章浏览阅读3.8k次,点赞3次,收藏51次。前段时间看到一位发烧友制作的超声波雷达扫描神器,用到了Arduino和Processing,可惜啊,我不会Processing更看不懂人家的程序,咋办呢?嘿嘿,所以我就换了个思路解决,因为我会一点Python啊,那就动手吧!在做这个案例之前先要搞明白一个问题:怎么将Arduino通过超声波检测到的距离反馈到Python端?这个嘛,我首先想到了串行通信接口。没错!就是串口。只要Arduino将数据发送给COM口,然后Python能从COM口读取到这个数据就可以啦!我先写了一个测试程序试了一下,OK!搞定_超声波扫描建模 python库
文章浏览阅读4.2k次。端—端加密指信息由发送端自动加密,并且由TCP/IP进行数据包封装,然后作为不可阅读和不可识别的数据穿过互联网,当这些信息到达目的地,将被自动重组、解密,而成为可读的数据。不可逆加密算法的特征是加密过程中不需要使用密钥,输入明文后由系统直接经过加密算法处理成密文,这种加密后的数据是无法被解密的,只有重新输入明文,并再次经过同样不可逆的加密算法处理,得到相同的加密密文并被系统重新识别后,才能真正解密。2.使用时,加密者查找明文字母表中需要加密的消息中的每一个字母所在位置,并且写下密文字母表中对应的字母。_凯撒加密
文章浏览阅读5.7k次。CIP报文解析常用到的几个字段:普通类型服务类型:[0x00], CIP对象:[0x02 Message Router], ioi segments:[XX]PCCC(带cmd和func)服务类型:[0x00], CIP对象:[0x02 Message Router], cmd:[0x101], fnc:[0x101]..._cip协议embedded_service_error
文章浏览阅读2.4k次,点赞9次,收藏13次。有时候我们在MFC项目开发过程中,需要用到一些微软已经提供的功能,如VC++使用EXCEL功能,这时候我们就能直接通过VS2019到如EXCEL.EXE方式,生成对应的OLE头文件,然后直接使用功能,那么,我们上篇文章中介绍了vs2017及以前的版本如何来添加。但由于微软某些方面考虑,这种方式已被放弃。从上图中可以看出,这一功能,在从vs2017版本15.9开始,后续版本已经删除了此功能。那么我们如果仍需要此功能,我们如何在新版本中添加呢。_vs添加mfc库
文章浏览阅读785次。用ac3编码,执行编码函数时报错入如下:[ac3 @ 0x7fed7800f200] frame_size (1536) was not respected for anon-last frame (avcodec_encode_audio2)用ac3编码时每次送入编码器的音频采样数应该是1536个采样,不然就会报上述错误。这个数字并非刻意固定,而是跟ac3内部的编码算法原理相关。全网找不到,国内音视频之路还有很长的路,音视频人一起加油吧~......_frame_size (1024) was not respected for a non-last frame
文章浏览阅读230次,点赞2次,收藏2次。创建Android应用程序一个项目里面可以有很多模块,而每一个模块就对应了一个应用程序。项目结构介绍_在安卓移动应用开发中要在活动类文件中声迷你一个复选框变量