Ubuntu 16.04 पर SSL समर्थन के साथ सु���क्षित MariaDB

• आवश्यकताएँ
• चरण 1: MariaDB स्थापित करें
• चरण 2: सर्वर के लिए एक एसएसएल प्रमाणपत्र और एक निजी कुंजी बनाएं
• चरण 3: SSL का उपयोग करने के लिए MariaDB सर्वर कॉन्फ़िगर करें
• चरण 4: SSL विशेषाधिकार के साथ एक उपयोगकर्ता बनाएँ
• चरण 5: ग्राहक प्रमाणपत्र बनाएं
• चरण 6: SSL का उपयोग करने के लिए MariaDB क्लाइंट को कॉन्फ़िगर करें
• चरण 7: दूरस्थ कनेक्शन सत्यापित करें
• निष्कर्ष

MariaDB एक मुक्त स्रोत स्रोत है, और MySQL के लिए सबसे व्यापक रूप से उपयोग किया जाने वाला ड्रॉप-इन प्रतिस्थापन है। यह MySQL के डेवलपर्स द्वारा बनाया गया है और इसका उद्देश्य GNU GPL के तहत मुक्त रहना है। यह बहुत तेज़, स्केलेबल है, और इसमें कई तरह के उपयोग के मामले हैं जो इसे कई प्रकार के उपयोग मामलों के लिए बहुत बहुमुखी बनाते हैं।

यह ट्यूटोरियल उबंटू 16.04 पर SSL समर्थन के साथ मारबाडी को स्थापित करने और कॉन्फ़िगर करने के तरीके के माध्यम से आपके पास जाएगा।

आवश्यकताएँ

• एक ताजा Ubuntu 16.04 Vultr उदाहरण।
• सूडो विशेषाधिकार के साथ एक गैर-रूट उपयोगकर्ता।
• एक स्थिर IP पता 192.168.0.190 सर्वर उदाहरण पर कॉन्फ़िगर किया गया है।
• एक स्थिर IP पता 192.168.0.191 क्लाइंट मशीन पर कॉन्फ़िगर किया गया है।

चरण 1: MariaDB स्थापित करें

डिफ़ॉल्ट रूप से, MariaDB का नवीनतम संस्करण Ubuntu 16.04 रिपॉजिटरी में उपलब्ध नहीं है; इसलिए आपको अपने सिस्टम में MariaDB रिपॉजिटरी को जोड़ना होगा।

सबसे पहले, निम्न कमांड के साथ कुंजी डाउनलोड करें:

sudo apt-key adv --recv-keys --keyserver hkp://keyserver.ubuntu.com:80 0xF1656F24C74CD1D8

इसके बाद, /etc/apt/sources.listफाइल में MariaDB रिपॉजिटरी जोड़ें :

sudo echo "deb [arch=amd64,i386,ppc64el] http://ftp.utexas.edu/mariadb/repo/10.1/ubuntu xenial main" >> /etc/apt/sources.list

निम्नलिखित कमांड के साथ उपयुक्त इंडेक्स अपडेट करें:

sudo apt-get update -y

एक बार जब अनुक्रमणिका को अपडेट कर दिया जाता है, तो निम्नलिखित कमांड के साथ मारबाडी सर्वर स्थापित करें:

sudo apt-get install mariadb-server -y

MariaDB सर्वर शुरू करें और इसे बूट समय पर शुरू करने के लिए सक्षम करें:

sudo systemctl start mysql
sudo systemctl enable mysql

इसके बाद, आपको mysql_secure_installationMariaDB स्थापना को सुरक्षित करने के लिए स्क्रिप्ट को चलाने की आवश्यकता होगी । यह स्क्रिप्ट आपको रूट पासवर्ड सेट करने, अनाम उपयोगकर्ताओं को निकालने, दूरस्थ रूट लॉगिन को हटाने और परीक्षण डेटाबेस को हटाने की अनुमति देती है:

sudo mysql_secure_installation

चरण 2: सर्वर के लिए एक एसएसएल प्रमाणपत्र और एक निजी कुंजी बनाएं

सबसे पहले, सभी कुंजी और प्रमाणपत्र फ़ाइलों को संग्रहीत करने के लिए एक निर्देशिका बनाएं।

sudo mkdir /etc/mysql-ssl

अगला, /etc/mysql-sslनिम्न कमांड के साथ CA प्रमाणपत्र और निजी कुंजी बनाने के लिए निर्देशिका को बदलें :

sudo cd /etc/mysql-ssl
sudo openssl genrsa 2048 > ca-key.pem
sudo openssl req -new -x509 -nodes -days 365000 -key ca-key.pem -out ca-cert.pem

नीचे दिखाए गए सभी सवालों के जवाब दें:

You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [AU]:IN
State or Province Name (full name) [Some-State]:GUJ
Locality Name (eg, city) []:JND
Organization Name (eg, company) [Internet Widgits Pty Ltd]:ENJ
Organizational Unit Name (eg, section) []:SYSTEM
Common Name (e.g. server FQDN or YOUR name) []:HITESH
Email Address []:[email protected]

अगला, निम्नलिखित कमांड वाले सर्वर के लिए एक निजी कुंजी बनाएं:

sudo openssl req -newkey rsa:2048 -days 365 -nodes -keyout server-key.pem -out server-req.pem

पिछले कमांड में किए गए सभी प्रश्नों के उत्तर दें।

अगला, निम्नलिखित कमांड के साथ आरएसए-टाइप कुंजी के लिए सर्वर की निजी कुंजी निर्यात करें:

sudo sudo openssl rsa -in server-key.pem -out server-key.pem

अंत में, CA सर्टिफिकेट का उपयोग करके सर्वर सर्टिफिकेट तैयार करें:

sudo openssl x509 -req -in server-req.pem -days 365 -CA ca-cert.pem -CAkey ca-key.pem -set_serial 01 -out server-cert.pem

अब आप निम्न आदेश के साथ सभी प्रमाणपत्र और कुंजी देख सकते हैं:

ls

आपको निम्न आउटपुट देखना चाहिए:

ca-cert.pem  ca-key.pem  server-cert.pem  server-key.pem  server-req.pem

एक बार हो जाने के बाद, आप अगले चरण पर आगे बढ़ सकते हैं।

चरण 3: SSL का उपयोग करने के लिए MariaDB सर्वर कॉन्फ़िगर करें

आपके पास सभी प्रमाण पत्र और एक निजी कुंजी होनी चाहिए; और अब आपको कुंजी और प्रमाण पत्र का उपयोग करने के लिए MariaDB को कॉन्फ़िगर करना होगा। आप /etc/mysql/mariadb.conf.d/50-server.cnfफ़ाइल को संपादित करके ऐसा कर सकते हैं :

sudo nano /etc/mysql/mariadb.conf.d/50-server.cnf

[mysqld]अनुभाग के तहत निम्नलिखित पंक्तियाँ जोड़ें :

ssl-ca=/etc/mysql-ssl/ca-cert.pem
ssl-cert=/etc/mysql-ssl/server-cert.pem
ssl-key=/etc/mysql-ssl/server-key.pem

##Change this value to connect the MariaDB server from another host.
bind-address = *

फ़ाइल सहेजें, फिर इन परिवर्तनों को लागू करने के लिए MariaDB सेवा को पुनरारंभ करें:

sudo systemctl restart mysql

अब, आप जांच सकते हैं कि SSL कॉन्फ़िगरेशन निम्नलिखित क्वेरी के साथ काम कर रहा है या नहीं:

mysql -u root -p
MariaDB [(none)]> SHOW VARIABLES LIKE '%ssl%';

यदि कॉन्फ़िगरेशन सफल था, तो आपको निम्न आउटपुट देखना चाहिए:

+---------------+--------------------------------+
| Variable_name | Value                          |
+---------------+--------------------------------+
| have_openssl  | YES                            |
| have_ssl      | YES                            |
| ssl_ca        | /etc/mysql-ssl/ca-cert.pem     |
| ssl_capath    |                                |
| ssl_cert      | /etc/mysql-ssl/server-cert.pem |
| ssl_cipher    |                                |
| ssl_crl       |                                |
| ssl_crlpath   |                                |
| ssl_key       | /etc/mysql-ssl/server-key.pem  |
+---------------+--------------------------------+

आपको ध्यान देना चाहिए have_sslऔर have_opensslउपरोक्त आउटपुट में मान सक्षम हैं।

चरण 4: SSL विशेषाधिकार के साथ एक उपयोगकर्ता बनाएँ

एक दूरस्थ उपयोगकर्ता बनाएँ, जिसे SSL पर MariaDB सर्वर तक पहुँचने का विशेषाधिकार प्राप्त है। निम्न कमांड चलाकर ऐसा करें:

सबसे पहले, MySQL शेल में लॉगिन करें:

mysql -u root -p

अगला, remoteएसएसएल पर सर्वर तक पहुंचने के लिए उपयोगकर्ता और अनुदान विशेषाधिकार बनाएं ।

MariaDB [(none)]>GRANT ALL PRIVILEGES ON *.* TO 'remote'@'192.168.0.191' IDENTIFIED BY 'password' REQUIRE SSL;

फिर, निम्नलिखित कमांड के साथ विशेषाधिकारों को फ्लश करें:

MariaDB [(none)]>FLUSH PRIVILEGES;

अंत में, निम्न कमांड के साथ MySQL शेल से बाहर निकलें:

MariaDB [(none)]>exit;

नोट: 192.168.0.191 दूरस्थ उपयोगकर्ता (क्लाइंट) मशीन का आईपी पता है।

आपका सर्वर अब दूरस्थ उपयोगकर्ता से कनेक्शन की अनुमति देने के लिए तैयार है।

चरण 5: ग्राहक प्रमाणपत्र बनाएं

आपका सर्वर साइड कॉन्फ़िगरेशन पूरा हो गया है। इसके बाद, आपको क्लाइंट के लिए एक नई कुंजी और प्रमाण पत्र बनाना होगा।

सर्वर मशीन पर, निम्न कमांड के साथ क्लाइंट कुंजी बनाएं:

sudo cd /etc/mysql-ssl
sudo sudo openssl req -newkey rsa:2048 -days 365 -nodes -keyout client-key.pem -out client-req.pem

इसके बाद, क्लाइंट RSA कुंजी को निम्न कमांड के साथ प्रोसेस करें:

sudo openssl rsa -in client-key.pem -out client-key.pem

अंत में, निम्न आदेश के साथ क्लाइंट प्रमाणपत्र पर हस्ताक्षर करें:

sudo openssl x509 -req -in client-req.pem -days 365 -CA ca-cert.pem -CAkey ca-key.pem -set_serial 01 -out client-cert.pem

चरण 6: SSL का उपयोग करने के लिए MariaDB क्लाइंट को कॉन्फ़िगर करें

सभी प्रमाणपत्र और कुंजी क्लाइंट के लिए तैयार हैं। इसके बाद, आपको सभी क्लाइंट प्रमाणपत्रों को किसी भी क्लाइंट मशीन पर कॉपी करने की आवश्यकता होगी जहां आप MariaDB क्लाइंट चलाना चाहते हैं।

आपको क्लाइंट मशीन पर MariaDB क्लाइंट स्थापित करना होगा।

सबसे पहले, क्लाइंट मशीन पर, निम्न कमांड के साथ MariaDB के लिए कुंजी डाउनलोड करें:

sudo apt-key adv --recv-keys --keyserver hkp://keyserver.ubuntu.com:80 0xF1656F24C74CD1D8

फिर, /etc/apt/sources.listफ़ाइल में MariaDB रिपॉजिटरी जोड़ें :

sudo echo "deb [arch=amd64,i386,ppc64el] http://ftp.utexas.edu/mariadb/repo/10.1/ubuntu xenial main" >> /etc/apt/sources.list

अगला, निम्न कमांड के साथ apt इंडेक्स को अपडेट करें:

sudo apt-get update -y

एक बार अनुक्रमणिका को अद्यतन करने के बाद, निम्न आदेश के साथ क्लाइंट मशीन पर MariaDB क्लाइंट स्थापित करें:

sudo apt-get install mariadb-client -y

अब सभी प्रमाणपत्रों को संग्रहीत करने के लिए एक निर्देशिका बनाएं:

sudo mkdir /etc/mysql-ssl

अगला, निम्नलिखित आदेश के साथ क्लाइंट मशीन से क्लाइंट मशीन के सभी क्लाइंट प्रमाणपत्रों की प्रतिलिपि बनाएँ:

sudo scp [email protected]:/etc/mysql-ssl/client-* /etc/mysql-ssl/

फिर, आपको SSL का उपयोग करने के लिए MariaDB क्लाइंट को कॉन्फ़िगर करना होगा। आप एक /etc/mysql/mariadb.conf.d/50-mysql-clients.cnfफ़ाइल बनाकर ऐसा कर सकते हैं :

sudo nano /etc/mysql/mariadb.conf.d/50-mysql-clients.cnf

निम्नलिखित पंक्तियाँ जोड़ें:

[client]
ssl-ca=/etc/mysql-ssl/ca-cert.pem
ssl-cert=/etc/mysql-ssl/client-cert.pem
ssl-key=/etc/mysql-ssl/client-key.pem

फ़ाइल समाप्त होने पर सहेजें।

चरण 7: दूरस्थ कनेक्शन सत्यापित करें

अब जब सब कुछ कॉन्फ़िगर किया गया है, तो यह सत्यापित करने का समय है कि आप मारियाडीबी सर्वर से सफलतापूर्वक जुड़ सकते हैं या नहीं।

क्लाइंट मशीन पर, MariaDB सर्वर से कनेक्ट करने के लिए निम्न कमांड चलाएँ:

mysql -u remote -h 192.168.0.190 -p mysql

आपको remoteउपयोगकर्ता पासवर्ड दर्ज करने के लिए कहा जाएगा । पासवर्ड देने के बाद, आपको रिमोट मारियाबीडी सर्वर में लॉग इन किया जाएगा।

निम्नलिखित कमांड के साथ कनेक्शन की स्थिति की जाँच करें:

MariaDB [mysql]> status

आपको निम्न आउटपुट देखना चाहिए:

--------------
mysql  Ver 15.1 Distrib 10.2.7-MariaDB, for debian-linux-gnu (x86_64) using readline 5.2

Connection id:      62
Current database:   mysql
Current user:       [email protected]
SSL:            Cipher in use is DHE-RSA-AES256-SHA
Current pager:      stdout
Using outfile:      ''
Using delimiter:    ;
Server:         MariaDB
Server version:     10.0.31-MariaDB-0ubuntu0.16.04.2 Ubuntu 16.04
Protocol version:   10
Connection:     192.168.0.190 via TCP/IP
Server characterset:    utf8mb4
Db     characterset:    utf8mb4
Client characterset:    utf8
Conn.  characterset:    utf8
TCP port:       3306
Uptime:         1 hours 31 min 31 sec

आपको SSL: Cipher in use is DHE-RSA-AES256-SHAउपरोक्त आउटपुट में देखना चाहिए । इसका मतलब है कि आपका कनेक्शन अब एसएसएल के साथ सुरक्षित है।

निष्कर्ष

बधाई हो! आपने SSL समर्थन के साथ एक MariaDB सर्वर को सफलतापूर्वक कॉन्फ़िगर किया है। अब आप SSL पर सर्वर मारियाबीडी सर्वर तक पहुंचने के लिए अन्य क्लाइंट को एक्सेस दे सकते हैं।