美文网首页
ProxySQL手册_06密码管理

ProxySQL手册_06密码管理

作者: 这货不是王马勺 | 来源:发表于2021-10-21 16:13 被阅读0次

    ProxySQL是一个协议感知的proxy。由于ProxySQL基于流量进行路由,当一个客户端连接ProxySQL时,它还无法识别它的目标主机组,因此ProxySQL需要对该客户端进行认证。基于此,需要为用户提供相关的密码信息以便完成认证。

    ProxySQL还需要这些信息来和后端MySQL建立连接,或者在已建立的连接上执行CHANGE_USER
    (译注:也就是说,这些用户负责客户端到ProxySQL的连接,也复制ProxySQL到后端节点的连接)

    密码配置也使用用户的配置表mysql_users,所以也使用多层配置系统进行管理:

    • runtime数据结构中使用MySQL_Authentication()对象来存储认证相关的信息;
    • 内存数据库中使用main.mysql_users表存储认证相关信息;
    • 磁盘数据库中使用disk.mysql_users表存储认证相关信息。
      在内存数据库和磁盘数据库的mysql_users表中,和用户认证凭据相关的字段为usernamepassword

    密码格式

    无论是内存数据库,还是磁盘数据库,mysql_users.password都支持明文密码格式和hash加密的密码格式:

    • plain text
    • hashed password
      明文密码很简单,从字面即可直到密码内容。如果磁盘数据库和传统的配置文件处于一个安全的路径下,即使需要考虑安全问题,但也没有那么严格。
      加密的hash密码和MySQL中存放在mysql.user.password字段中的hash密码格式是一样的。
      当密码以*开头时,ProxySQL就认为这是一个加密的hash密码。

    加密的hash密码以及认证

    在MySQL和ProxySQL中,使用SHA1(SHA1('clear_password'))对clear_password进行加密。无法根据加密的hash密码推导回原始的明文密码。
    当客户端连接到ProxySQL时,ProxySQL将使用该加密的密码对用户进行认证。如果该客户端是第一次认证,则ProxySQL会推导出一部分的hash密码SHA1('clear_password')。推导出的信息会存储到runtime的内部数据结构中,以便ProxySQL连接后端MySQL时使用。

    如何设置新密码

    ProxySQL的Admin管理接口没有PASSWORD()函数,这意味着:

    • 无论是明文还是hash加密的密码,都会以插入时的格式进行存储(译注:其实是句废话,意思是设置明文密码,就以明文存储,设置加密密码,就以加密后的结果存储);
    • 当在Admin管理接口输入密码时,无法从明文密码推导出加密的hash密码。(可以在MySQL Server上执行select password('password')得到hash密码,并粘贴到管理接口)。

    admin-hash_passwords变量

    为了方便支持hash密码,ProxySQL 1.2.3引入了一个全局布尔值变量admin-hash_passwords,默认已开启。
    当该变量值为true时,执行LOAD MYSQL USERS TO RUNTIME会自动将密码进行hash处理并存储到RUNTIME数据结构中。
    mysql_users表中的密码不会自动hash。但要对内存数据库、磁盘数据库中mysql_users中的密码进行hash也很容易。只需从RUNTIME数据结构中拷贝到内存数据库或磁盘数据库中即可。例如,在执行了LOAD MYSQL USERS TO RUNTIME后,再执行SAVE MYSQL USERS FROM RUNTIME即可保存到内存数据库的mysql_users表中,再执行SAVE MYSQL USERS TO DISK即可保存到磁盘数据库的mysql_users表中。
    例如:

    Admin> SELECT * FROM mysql_users;
    Empty set (0.00 sec)
    
    Admin> INSERT INTO mysql_users(username,password) VALUES ('user1','password1'), ('user2','password2');
    Query OK, 2 rows affected (0.00 sec)
    
    Admin> SELECT username,password FROM mysql_users;
    +----------+-----------+
    | username | password  |
    +----------+-----------+
    | user1    | password1 |
    | user2    | password2 |
    +----------+-----------+
    2 rows in set (0.00 sec)
    
    Admin> LOAD MYSQL USERS TO RUNTIME;
    Query OK, 0 rows affected (0.00 sec)
    
    Admin> SELECT username,password FROM mysql_users;
    +----------+-----------+
    | username | password  |
    +----------+-----------+
    | user1    | password1 |
    | user2    | password2 |
    +----------+-----------+
    2 rows in set (0.00 sec)
    

    执行完上面的语句后,runtime中的密码已经是被hash过的,但内存数据库中的mysql_users表中仍然是明文。所以执行下面的操作,将mysql_users表中的密码修改为hash密码:

    Admin> SAVE MYSQL USERS FROM RUNTIME;
    Query OK, 0 rows affected (0.00 sec)
    
    Admin> SELECT username,password FROM mysql_users;
    +----------+-------------------------------------------+
    | username | password                                  |
    +----------+-------------------------------------------+
    | user1    | *668425423DB5193AF921380129F465A6425216D0 |
    | user2    | *DC52755F3C09F5923046BD42AFA76BD1D80DF2E9 |
    +----------+-------------------------------------------+
    2 rows in set (0.00 sec)
    

    然后就可以执行SAVE MYSQL USERS TO DISK将内存数据库中hash后的密码持久化到磁盘数据库的mysql_users表中。

    注意:admin-hash_passwords是以admin-开头的变量,不是mysql-开头。这是因为它影响的是Admin接口的行为。
    这个细节很重要,因为修改该变量后要使其生效,你要执行的是LOAD ADMIN VARIABLES TO RUNTIME,而不是LOAD MYSQL VARIABLES TO RUNTIME。

    相关文章

      网友评论

          本文标题:ProxySQL手册_06密码管理

          本文链接:https://www.haomeiwen.com/subject/hyuaoltx.html