1 MySQL 加密配置

总览

本节提供了一些关于CentOS 8.2和MySQL 8.0.21的加密配置示例,并且可以用作数据库加密连接的快速入门指南。加密组合列表不限于此页面上列出的组合。有很多可用的组合。

从Zabbix 5.0.5版本开始,如果Mysql主机设置成 localhost,则加密选型将不可用。在这种情况下,Zabbix 前端(frontend)与数据库之间的连接使用套接字文件(在Unix上)或共享内存(在Windows上),并且无法加密。

在 Zabbix 5.0.5 以前版本,TLS加密参数名称以来,已略有更改:为了更清楚起见,添加了“Database” 前缀。在5.0.0-5.0.4版本中,参数称为 TLS加密(TLS encryption), TLS证书文件(TLS certificate file) 等。

前提条件

安装Mysql数据库,从 官方Yum仓库.

有关如何快速使用Mysql Yum仓库详细信息,请参考 MySQL 官方文档

MySQL服务器已经准备好使用自签名证书接受安全连接。

若要查看哪些用户正在使用加密的连接,请运行以下查询(性能模式(Performance Schema)应打开):

  1. mysql> SELECT sbt.variable_value AS tls_version, t2.variable_value AS cipher, processlist_user AS user, processlist_host AS host 
  2.         FROM performance_schema.status_by_thread  AS sbt
  3.         JOIN performance_schema.threads AS t ON t.thread_id = sbt.thread_id
  4.         JOIN performance_schema.status_by_thread AS t2 ON t2.thread_id = t.thread_id
  5.         WHERE sbt.variable_name = 'Ssl_version' and t2.variable_name = 'Ssl_cipher'
  6.         ORDER BY tls_version;

必须模式

MySQL 配置

数据库的当前版本可直接使用 ‘必须(required)’ 加密模式。初始设置和启动后,将创建服务器端证书。

为主要组件创建数据库用户和角色:

  1. mysql> CREATE USER   
  2.  'zbx_srv'@'%' IDENTIFIED WITH mysql_native_password BY '<健壮的复杂密码>',   
  3.  'zbx_web'@'%' IDENTIFIED WITH mysql_native_password BY '<健壮的复杂密码>'
  4.  REQUIRE SSL   
  5.  PASSWORD HISTORY 5; 
  7. mysql> CREATE ROLE 'zbx_srv_role', 'zbx_web_role'; 
  9. mysql> GRANT SELECT, UPDATE, DELETE, INSERT, CREATE, DROP, ALTER, INDEX, REFERENCES ON zabbix.* TO 'zbx_srv_role'; 
  10. mysql> GRANT SELECT, UPDATE, DELETE, INSERT ON zabbix.* TO 'zbx_web_role'; 
  12. mysql> GRANT 'zbx_srv_role' TO 'zbx_srv'@'%'; 
  13. mysql> GRANT 'zbx_web_role' TO 'zbx_web'@'%'; 
  15. mysql> SET DEFAULT ROLE 'zbx_srv_role' TO 'zbx_srv'@'%'; 
  16. mysql> SET DEFAULT ROLE 'zbx_web_role' TO 'zbx_web'@'%';

请注意,X.509协议不用于检查身份,而是将用户配置为仅使用加密连接。有关配置用户的更多详细信息,请参见MySQL 官方文档

远程连接验证(socket套接字连接不能用于测试安全连接):

  1. $ mysql -u zbx_srv -p -h 10.211.55.9 --ssl-mode=REQUIRED

检查当前状态和可用的密码组合:

  1. mysql> status
  2. --------------
  3. mysql Ver 8.0.21 for Linux on x86_64 (MySQL Community Server - GPL)
  5. Connection id: 62
  6. Current database:
  7. Current user: [email protected]
  8. SSL: Cipher in use is TLS_AES_256_GCM_SHA384
  11. mysql> SHOW SESSION STATUS LIKE 'Ssl_cipher_list'\G;
  12. *************************** 1. row ***************************
  13. Variable_name: Ssl_cipher_list
  14. Value: TLS_AES_256_GCM_SHA384:TLS_CHACHA20_POLY1305_SHA256:TLS_AES_128_GCM_SHA256:TLS_AES_128_CCM_SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:DHE-RSA-AES128-SHA256:DHE-DSS-AES128-SHA256:DHE-DSS-AES256-GCM-SHA384:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-DSS-AES128-SHA:DHE-RSA-AES128-SHA:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES256-SHA:CAMELLIA256-SHA:CAMELLIA128-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA
  15. 1 row in set (0.00 sec)
  17. ERROR:
  18. No query specified

前端

要为Zabbix frontend和数据库之间的连接启用仅传输加密:

  • 检查 数据库TLS加密(Database TLS encryption)

  • 不选中 验证数据库证书(Verify database certificate)

Server

要为服务器和数据库之间的连接启用仅传输加密,请配置/etc/zabbix/zabbix_server.conf:

  1. ...
  2. DBHost=10.211.55.9
  3. DBName=zabbix
  4. DBUser=zbx_srv
  5. DBPassword=<健壮的复杂密码>
  6. DBTLSConnect=required
  7. ...

验证 CA 模式

将所需的MySQL CA复制到Zabbix frontend服务器,分配适当的权限以允许Web服务器读取此文件。

前端 (Frontend)

为Zabbix 前端(frontend) 和数据库之间的连接启用带有证书验证的加密:

  • 检查 数据库TLS加密(Database TLS encryption)验证数据库证书 (Verify database certificate)

  • 指定数据库TLS CA文件的路径

或者,可以在/etc/zabbix/web/zabbix.conf.php中进行设置:

  1. ...
  2. $DB['ENCRYPTION'] = true;
  3. $DB['KEY_FILE'] = '';
  4. $DB['CERT_FILE'] = '';
  5. $DB['CA_FILE'] = '/etc/ssl/mysql/ca.pem';
  6. $DB['VERIFY_HOST'] = false;
  7. $DB['CIPHER_LIST'] = '';
  8. ...

使用命令行工具对用户进行故障排除,以检查所需用户是否可以建立连接:

  1. $ mysql -u zbx_web -p -h 10.211.55.9 --ssl-mode=REQUIRED --ssl-ca=/var/lib/mysql/ca.pem

Zabbix Server

要为Zabbix server和数据库之间的连接启用带有证书验证的加密,请配置/etc/zabbix/zabbix_server.conf:

  1. ...
  2. DBHost=10.211.55.9
  3. DBName=zabbix
  4. DBUser=zbx_srv
  5. DBPassword=<strong_password>
  6. DBTLSConnect=verify_ca
  7. DBTLSCAFile=/etc/ssl/mysql/ca.pem
  8. ...

验证完全模式(Full mode)

MySQL 配置

将MySQL CE服务器配置选项(/etc/my.cnf.d/server-tls.cnf)设置为:

  1. [mysqld]
  2. ...
  3. # 在此示例中,配置位于MySQL CE datadir目录中
  4. ssl_ca=ca.pem
  5. ssl_cert=server-cert.pem
  6. ssl_key=server-key.pem
  8. require_secure_transport=ON
  9. tls_version=TLSv1.3
  10. ...

应根据MySQl CE文档手动创建MySQL CE服务器和客户端的密钥(Zabbix 前端)使用MySQL创建SSL和RSA证书和密钥文档 or 使用openssl创建SSL证书和密钥文档

MySQL服务器证书应包含设置为FQDN名称的Common Name字段,因为Zabbix前端(frontend)将使用DNS名称与数据库通信或数据库主机的IP地址。

创建MySQL用户:

  1. mysql> CREATE USER
  2.   'zbx_srv'@'%' IDENTIFIED WITH mysql_native_password BY '<健壮的复杂密码>',
  3.   'zbx_web'@'%' IDENTIFIED WITH mysql_native_password BY '<健壮的复杂密码>'
  4.   REQUIRE X509
  5.   PASSWORD HISTORY 5;

检查是否可以使用该用户登录:

  1. $ mysql -u zbx_web -p -h 10.211.55.9 --ssl-mode=VERIFY_IDENTITY --ssl-ca=/var/lib/mysql/ca.pem --ssl-cert=/var/lib/mysql/client-cert.pem --ssl-key=/var/lib/mysql/client-key.pem

前端

要对 Zabbix前端 和数据库之间的连接进行完整验证的加密,请执行以下操作:

  • 检查 数据库TLS加密并验证数据库证书

  • 指定 数据库TLS密钥文件的路径

  • 指定 数据库TLS CA文件的路径

  • 指定 数据库TLS证书文件的路径

请注意,数据库主机验证(Database host verification) 已选中并显示为灰色-MySQL不能跳过此步骤。

密码列表应该为空,以便 前端和服务器 可以从两端支持的服务器中协商所需的一个。

或者,可以在/etc/zabbix/web/zabbix.conf.php中进行设置:

  1. ...
  2. // 用于严格定义密码列表的TLS连接。
  3. $DB['ENCRYPTION'] = true;
  4. $DB['KEY_FILE'] = '/etc/ssl/mysql/client-key.pem';
  5. $DB['CERT_FILE'] = '/etc/ssl/mysql/client-cert.pem';
  6. $DB['CA_FILE'] = '/etc/ssl/mysql/ca.pem';
  7. $DB['VERIFY_HOST'] = true;
  8. $DB['CIPHER_LIST'] = 'TLS_AES_256_GCM_SHA384:TLS_CHACHA20_POLY1305_SHA256:TLS_AES_128_GCM_SHA256:TLS_AES_128_CCM_SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-GC';
  9. ...
  10. // or
  11. ...
  12. // 用于未定义密码列表的TLS连接-由MySQL服务器选择
  13. $DB['ENCRYPTION'] = true;
  14. $DB['KEY_FILE'] = '/etc/ssl/mysql/client-key.pem';
  15. $DB['CERT_FILE'] = '/etc/ssl/mysql/client-cert.pem';
  16. $DB['CA_FILE'] = '/etc/ssl/mysql/ca.pem';
  17. $DB['VERIFY_HOST'] = true;
  18. $DB['CIPHER_LIST'] = '';
  19. ...

Zabbix Server

要通过对Zabbix server和数据库之间的连接进行全面验证来启用加密,请配置/etc/zabbix/zabbix_server.conf:

  1. ...
  2. DBHost=10.211.55.9
  3. DBName=zabbix
  4. DBUser=zbx_srv
  5. DBPassword=<strong_password>
  6. DBTLSConnect=verify_full
  7. DBTLSCAFile=/etc/ssl/mysql/ca.pem
  8. DBTLSCertFile=/etc/ssl/mysql/client-cert.pem
  9. DBTLSKeyFile=/etc/ssl/mysql/client-key.pem
  10. ...