Sichere MariaDB mit SSL-Unterstützung unter Ubuntu 16.04

• Bedarf
• Schritt 1: Installieren Sie MariaDB
• Schritt 2: Erstellen Sie ein SSL-Zertifikat und einen privaten Schlüssel für den Server
• Schritt 3: Konfigurieren Sie MariaDB Server für die Verwendung von SSL
• Schritt 4: Erstellen Sie einen Benutzer mit SSL-Berechtigungen
• Schritt 5: Erstellen Sie das Client-Zertifikat
• Schritt 6: Konfigurieren Sie den MariaDB-Client für die Verwendung von SSL
• Schritt 7: Überprüfen Sie die Remoteverbindungen
• Fazit

MariaDB ist eine kostenlose Open-Source-Datenbank und der am häufigsten verwendete Drop-In-Ersatz für MySQL. Es wurde von den Entwicklern von MySQL erstellt und soll unter der GNU-GPL kostenlos bleiben. Es ist sehr schnell, skalierbar und verfügt über eine Vielzahl von Funktionen, die es für eine Vielzahl von Anwendungsfällen sehr vielseitig machen.

In diesem Tutorial erfahren Sie, wie Sie MariaDB mit SSL-Unterstützung unter Ubuntu 16.04 installieren und konfigurieren.

Bedarf

• Eine neue Ubuntu 16.04 Vultr-Instanz.
• Ein Nicht-Root-Benutzer mit Sudo-Berechtigungen.
• Auf der Serverinstanz ist eine statische IP-Adresse 192.168.0.190 konfiguriert.
• Auf dem Clientcomputer ist eine statische IP-Adresse 192.168.0.191 konfiguriert.

Schritt 1: Installieren Sie MariaDB

Standardmäßig ist die neueste Version von MariaDB nicht im Ubuntu 16.04-Repository verfügbar. Daher müssen Sie das MariaDB-Repository zu Ihrem System hinzufügen.

Laden Sie zuerst den Schlüssel mit dem folgenden Befehl herunter:

sudo apt-key adv --recv-keys --keyserver hkp://keyserver.ubuntu.com:80 0xF1656F24C74CD1D8

Fügen Sie als Nächstes das MariaDB-Repository zur /etc/apt/sources.listDatei hinzu:

sudo echo "deb [arch=amd64,i386,ppc64el] http://ftp.utexas.edu/mariadb/repo/10.1/ubuntu xenial main" >> /etc/apt/sources.list

Aktualisieren Sie den apt-Index mit dem folgenden Befehl:

sudo apt-get update -y

Nachdem der apt-Index aktualisiert wurde, installieren Sie den MariaDB-Server mit dem folgenden Befehl:

sudo apt-get install mariadb-server -y

Starten Sie den MariaDB-Server und aktivieren Sie ihn beim Start:

sudo systemctl start mysql
sudo systemctl enable mysql

Als Nächstes müssen Sie ein mysql_secure_installationSkript ausführen , um die MariaDB-Installation zu sichern. Mit diesem Skript können Sie das Root-Passwort festlegen, anonyme Benutzer entfernen, die Remote-Root-Anmeldung nicht zulassen und die Testdatenbank entfernen:

sudo mysql_secure_installation

Schritt 2: Erstellen Sie ein SSL-Zertifikat und einen privaten Schlüssel für den Server

Erstellen Sie zunächst ein Verzeichnis zum Speichern aller Schlüssel- und Zertifikatdateien.

sudo mkdir /etc/mysql-ssl

Ändern Sie als Nächstes das Verzeichnis in /etc/mysql-sslund erstellen Sie das CA-Zertifikat und den privaten Schlüssel mit dem folgenden Befehl:

sudo cd /etc/mysql-ssl
sudo openssl genrsa 2048 > ca-key.pem
sudo openssl req -new -x509 -nodes -days 365000 -key ca-key.pem -out ca-cert.pem

Beantworten Sie alle Fragen wie folgt:

You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [AU]:IN
State or Province Name (full name) [Some-State]:GUJ
Locality Name (eg, city) []:JND
Organization Name (eg, company) [Internet Widgits Pty Ltd]:ENJ
Organizational Unit Name (eg, section) []:SYSTEM
Common Name (e.g. server FQDN or YOUR name) []:HITESH
Email Address []:[email protected]

Erstellen Sie als Nächstes einen privaten Schlüssel für den Server mit dem folgenden Befehl:

sudo openssl req -newkey rsa:2048 -days 365 -nodes -keyout server-key.pem -out server-req.pem

Beantworten Sie alle Fragen wie im vorherigen Befehl.

Exportieren Sie als Nächstes den privaten Schlüssel des Servers mit dem folgenden Befehl in einen Schlüssel vom Typ RSA:

sudo sudo openssl rsa -in server-key.pem -out server-key.pem

Generieren Sie abschließend ein Serverzertifikat mit dem CA-Zertifikat wie folgt:

sudo openssl x509 -req -in server-req.pem -days 365 -CA ca-cert.pem -CAkey ca-key.pem -set_serial 01 -out server-cert.pem

Sie können jetzt alle Zertifikate und Schlüssel mit dem folgenden Befehl anzeigen:

ls

Sie sollten die folgende Ausgabe sehen:

ca-cert.pem  ca-key.pem  server-cert.pem  server-key.pem  server-req.pem

Sobald Sie fertig sind, können Sie mit dem nächsten Schritt fortfahren.

Schritt 3: Konfigurieren Sie MariaDB Server für die Verwendung von SSL

Sie sollten über alle Zertifikate und einen privaten Schlüssel verfügen. und jetzt müssen Sie MariaDB konfigurieren, um den Schlüssel und die Zertifikate zu verwenden. Sie können dies tun, indem Sie die /etc/mysql/mariadb.conf.d/50-server.cnfDatei bearbeiten :

sudo nano /etc/mysql/mariadb.conf.d/50-server.cnf

Fügen Sie die folgenden Zeilen unter dem [mysqld]Abschnitt hinzu:

ssl-ca=/etc/mysql-ssl/ca-cert.pem
ssl-cert=/etc/mysql-ssl/server-cert.pem
ssl-key=/etc/mysql-ssl/server-key.pem

##Change this value to connect the MariaDB server from another host.
bind-address = *

Speichern Sie die Datei und starten Sie den MariaDB-Dienst neu, um die folgenden Änderungen zu übernehmen:

sudo systemctl restart mysql

Jetzt können Sie mit der folgenden Abfrage überprüfen, ob die SSL-Konfiguration funktioniert oder nicht:

mysql -u root -p
MariaDB [(none)]> SHOW VARIABLES LIKE '%ssl%';

Wenn die Konfiguration erfolgreich war, sollte die folgende Ausgabe angezeigt werden:

+---------------+--------------------------------+
| Variable_name | Value                          |
+---------------+--------------------------------+
| have_openssl  | YES                            |
| have_ssl      | YES                            |
| ssl_ca        | /etc/mysql-ssl/ca-cert.pem     |
| ssl_capath    |                                |
| ssl_cert      | /etc/mysql-ssl/server-cert.pem |
| ssl_cipher    |                                |
| ssl_crl       |                                |
| ssl_crlpath   |                                |
| ssl_key       | /etc/mysql-ssl/server-key.pem  |
+---------------+--------------------------------+

Sie sollten beachten, dass die Werte have_sslund have_opensslin der obigen Ausgabe aktiviert sind.

Schritt 4: Erstellen Sie einen Benutzer mit SSL-Berechtigungen

Erstellen Sie einen Remotebenutzer, der über SSL auf den MariaDB-Server zugreifen darf. Führen Sie dazu den folgenden Befehl aus:

Melden Sie sich zunächst bei der MySQL-Shell an:

mysql -u root -p

Erstellen Sie als Nächstes einen Benutzer remoteund erteilen Sie ihm die Berechtigung, über SSL auf den Server zuzugreifen.

MariaDB [(none)]>GRANT ALL PRIVILEGES ON *.* TO 'remote'@'192.168.0.191' IDENTIFIED BY 'password' REQUIRE SSL;

Löschen Sie dann die Berechtigungen mit dem folgenden Befehl:

MariaDB [(none)]>FLUSH PRIVILEGES;

Beenden Sie schließlich die MySQL-Shell mit dem folgenden Befehl:

MariaDB [(none)]>exit;

Hinweis: 192.168.0.191 ist die IP-Adresse des Remotebenutzers (Client).

Ihr Server ist jetzt bereit, Verbindungen zum Remote-Benutzer zuzulassen.

Schritt 5: Erstellen Sie das Client-Zertifikat

Ihre serverseitige Konfiguration ist abgeschlossen. Als Nächstes müssen Sie einen neuen Schlüssel und ein neues Zertifikat für den Client erstellen.

Erstellen Sie auf dem Server den Clientschlüssel mit dem folgenden Befehl:

sudo cd /etc/mysql-ssl
sudo sudo openssl req -newkey rsa:2048 -days 365 -nodes -keyout client-key.pem -out client-req.pem

Verarbeiten Sie als Nächstes den Client-RSA-Schlüssel mit dem folgenden Befehl:

sudo openssl rsa -in client-key.pem -out client-key.pem

Signieren Sie abschließend das Client-Zertifikat mit dem folgenden Befehl:

sudo openssl x509 -req -in client-req.pem -days 365 -CA ca-cert.pem -CAkey ca-key.pem -set_serial 01 -out client-cert.pem

Schritt 6: Konfigurieren Sie den MariaDB-Client für die Verwendung von SSL

Alle Zertifikate und der Schlüssel sind für den Kunden bereit. Als Nächstes müssen Sie alle Clientzertifikate auf jeden Clientcomputer kopieren, auf dem Sie den MariaDB-Client ausführen möchten.

Sie müssen den MariaDB-Client auf dem Client-Computer installieren.

Laden Sie zunächst auf dem Client-Computer den Schlüssel für MariaDB mit dem folgenden Befehl herunter:

sudo apt-key adv --recv-keys --keyserver hkp://keyserver.ubuntu.com:80 0xF1656F24C74CD1D8

Fügen Sie dann das MariaDB-Repository zur /etc/apt/sources.listDatei hinzu:

sudo echo "deb [arch=amd64,i386,ppc64el] http://ftp.utexas.edu/mariadb/repo/10.1/ubuntu xenial main" >> /etc/apt/sources.list

Aktualisieren Sie als Nächstes den apt-Index mit dem folgenden Befehl:

sudo apt-get update -y

Sobald der apt-Index aktualisiert wurde, installieren Sie den MariaDB-Client mit dem folgenden Befehl auf dem Clientcomputer:

sudo apt-get install mariadb-client -y

Erstellen Sie nun ein Verzeichnis zum Speichern aller Zertifikate:

sudo mkdir /etc/mysql-ssl

Kopieren Sie anschließend mit dem folgenden Befehl alle Client-Zertifikate vom Server-Computer auf den Client-Computer:

sudo scp [email protected]:/etc/mysql-ssl/client-* /etc/mysql-ssl/

Anschließend müssen Sie den MariaDB-Client für die Verwendung von SSL konfigurieren. Sie können dies tun, indem Sie eine /etc/mysql/mariadb.conf.d/50-mysql-clients.cnfDatei erstellen:

sudo nano /etc/mysql/mariadb.conf.d/50-mysql-clients.cnf

Fügen Sie die folgenden Zeilen hinzu:

[client]
ssl-ca=/etc/mysql-ssl/ca-cert.pem
ssl-cert=/etc/mysql-ssl/client-cert.pem
ssl-key=/etc/mysql-ssl/client-key.pem

Speichern Sie die Datei, wenn Sie fertig sind.

Schritt 7: Überprüfen Sie die Remoteverbindungen

Nachdem alles konfiguriert ist, müssen Sie überprüfen, ob Sie erfolgreich eine Verbindung zum MariaDB-Server herstellen können oder nicht.

Führen Sie auf dem Clientcomputer den folgenden Befehl aus, um eine Verbindung zum MariaDB-Server herzustellen:

mysql -u remote -h 192.168.0.190 -p mysql

Sie werden aufgefordert, das remoteBenutzerpasswort einzugeben . Nachdem Sie das Passwort eingegeben haben, werden Sie am Remote-MariaDB-Server angemeldet.

Überprüfen Sie den Status der Verbindung mit dem folgenden Befehl:

MariaDB [mysql]> status

Sie sollten die folgende Ausgabe sehen:

--------------
mysql  Ver 15.1 Distrib 10.2.7-MariaDB, for debian-linux-gnu (x86_64) using readline 5.2

Connection id:      62
Current database:   mysql
Current user:       [email protected]
SSL:            Cipher in use is DHE-RSA-AES256-SHA
Current pager:      stdout
Using outfile:      ''
Using delimiter:    ;
Server:         MariaDB
Server version:     10.0.31-MariaDB-0ubuntu0.16.04.2 Ubuntu 16.04
Protocol version:   10
Connection:     192.168.0.190 via TCP/IP
Server characterset:    utf8mb4
Db     characterset:    utf8mb4
Client characterset:    utf8
Conn.  characterset:    utf8
TCP port:       3306
Uptime:         1 hours 31 min 31 sec

Sie sollten SSL: Cipher in use is DHE-RSA-AES256-SHAin der obigen Ausgabe sehen. Das bedeutet, dass Ihre Verbindung jetzt mit SSL sicher ist.

Fazit

Herzliche Glückwünsche! Sie haben erfolgreich einen MariaDB-Server mit SSL-Unterstützung konfiguriert. Sie können jetzt anderen Clients Zugriff gewähren, um über SSL auf den MariaDB-Server zuzugreifen.