对数据库管理员来说,MySQL颇多吸引人之处,例如它的免费和开源,以及拥有详尽的文档和内置支持数据复制等。但是安全管理员会迅速指出它的一个缺陷:加密。政府对数据隐私保护的要求极为严格,通过局域网或广域网复制数据都需要加密。
尽管可以通过编译MySQL使其支持SSL,但许多二进制发行版并未激活该功能。打开一个SQL提示符,然后键入命令“show variables like ‘%ssl%”。如果“have_ssl”本文来源gaodai$ma#com搞$$代**码网或“have_openssl”被设置为“No”,则很不幸该功能未被激活。幸运的是,我们还有另一种选择来从源代码重新编译。安全外壳(SSH)支持数据隧道(data-tunneling),它可以建立一个类似VPN的迷你环境,来提供透明加密。首先,我们将使用一个用户名/密码建立一条SSH隧道。我们将通过使用RSA密钥对远端进行认证。一旦隧道正常运行后,我们将设置数据复制。
498)this.style.width=498;” border=”0″ src=”http://img.bitscn.com/upimg/allimg/100510/141931K44-0.gif” />
建立隧道
SSH隧道使用端口转发技术来连接到从属服务器上的一个TCP端口,在本文示例中该端口是7777,它通过SSH被转发到主MySQL服务器上的TCP端口3306。确保MySQL主服务器端的SSH隧道被激活,默认情况下它一般都处于激活状态。在MySQL从属服务器上,执行以下命令“ssh -f user@master_ip -L 7777:master_ip:3306 -N”。使用主服务器的一个系统用户账号和IP地址分别替换user和master_ip。你可能希望使用一个仅用于数据复制的用户,将其shell设定到/bin/false上。另外你可以使用从服务器上的任何可用端口替换7777。在主数据库端,你将被提示输入用户账号和密码。
现在从MySQL1从服务器上运行“mysql -h 127.0.0.1 -P 7777”,来连接MySQL主服务器。切记不能使用localhost,因为在MySQL中它有别的含义。如果需要,可以在该命令后追加“-u -p”来指定一个MySQL账号和密码。如果你获得一个“permission denied”消息,那么需要检查MySQL主服务器上的授权声明。授权声明应该被捆绑到主计算机的真实IP地址,因为它才是被转发的MySQL1连接的真正源地址。被转发的连接不是来自于localhost或127.0.0.1。
转载请注明原文链接:如何建立SSH加密的MySQL复制_MySQL
