Ubuntu 16.04でSSLサポートを使用してMariaDBを保護する

• 必要条件
• ステップ1：MariaDBをインストールする
• ステップ2：サーバーのSSL証明書と秘密鍵を作成する
• ステップ3：SSLを使用するようにMariaDBサーバーを設定する
• ステップ4：SSL特権を持つユーザーを作成する
• ステップ5：クライアント証明書を作成する
• 手順6：SSLを使用するようにMariaDBクライアントを構成する
• 手順7：リモート接続を確認する
• 結論

MariaDBは無料のオープンソースデータベースであり、MySQLに代わって最も広く使用されているドロップイン代替品です。これはMySQLの開発者によって作成され、GNU GPLの下で無料のままでいることを目的としています。非常に高速でスケーラブルであり、豊富な機能セットを備えているため、さまざまなユースケースに対応できます。

このチュートリアルでは、Ubuntu 16.04にSSLをサポートするMariaDBをインストールして構成する方法について説明します。

必要条件

• 新しいUbuntu 16.04 Vultrインスタンス。
• sudo特権を持つ非rootユーザー。
• 静的IPアドレス192.168.0.190がサーバーインスタンスに構成されています。
• 静的IPアドレス192.168.0.191がクライアントマシンで設定されています。

ステップ1：MariaDBをインストールする

デフォルトでは、MariaDBの最新バージョンはUbuntu 16.04リポジトリでは利用できません。したがって、MariaDBリポジトリをシステムに追加する必要があります。

まず、次のコマンドでキーをダウ��ロードします。

sudo apt-key adv --recv-keys --keyserver hkp://keyserver.ubuntu.com:80 0xF1656F24C74CD1D8

次に、MariaDBリポジトリを/etc/apt/sources.listファイルに追加します。

sudo echo "deb [arch=amd64,i386,ppc64el] http://ftp.utexas.edu/mariadb/repo/10.1/ubuntu xenial main" >> /etc/apt/sources.list

次のコマンドでaptインデックスを更新します。

sudo apt-get update -y

aptインデックスが更新されたら、次のコマンドを使用してMariaDBサーバーをインストールします。

sudo apt-get install mariadb-server -y

MariaDBサーバーを起動し、起動時に起動できるようにします。

sudo systemctl start mysql
sudo systemctl enable mysql

次に、mysql_secure_installationスクリプトを実行してMariaDBのインストールを保護する必要があります。このスクリプトを使用すると、ルートパスワードの設定、匿名ユーザーの削除、リモートルートログインの禁止、およびテストデータベースの削除を行うことができます。

sudo mysql_secure_installation

ステップ2：サーバーのSSL証明書と秘密鍵を作成する

最初に、すべてのキーと証明書ファイルを格納するディレクトリを作成します。

sudo mkdir /etc/mysql-ssl

次に、/etc/mysql-ssl次のコマンドでディレクトリを変更し、CA証明書と秘密鍵を作成します。

sudo cd /etc/mysql-ssl
sudo openssl genrsa 2048 > ca-key.pem
sudo openssl req -new -x509 -nodes -days 365000 -key ca-key.pem -out ca-cert.pem

以下に示すように、すべての質問に答えてください。

You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [AU]:IN
State or Province Name (full name) [Some-State]:GUJ
Locality Name (eg, city) []:JND
Organization Name (eg, company) [Internet Widgits Pty Ltd]:ENJ
Organizational Unit Name (eg, section) []:SYSTEM
Common Name (e.g. server FQDN or YOUR name) []:HITESH
Email Address []:example@example.com

次に、次のコマンドでサーバーの秘密鍵を作成します。

sudo openssl req -newkey rsa:2048 -days 365 -nodes -keyout server-key.pem -out server-req.pem

前のコマンドと同じように、すべての質問に答えてください。

次に、次のコマンドを使用して、サーバーの秘密鍵をRSAタイプの鍵にエクスポートします。

sudo sudo openssl rsa -in server-key.pem -out server-key.pem

最後に、CA証明書を使用して次のようにサーバー証明書を生成します。

sudo openssl x509 -req -in server-req.pem -days 365 -CA ca-cert.pem -CAkey ca-key.pem -set_serial 01 -out server-cert.pem

次のコマンドを使用して、すべての証明書とキーを表示できます。

ls

次の出力が表示されます。

ca-cert.pem  ca-key.pem  server-cert.pem  server-key.pem  server-req.pem

完了したら、次のステップに進むことができます。

ステップ3：SSLを使用するようにMariaDBサーバーを設定する

すべての証明書と秘密鍵が必要です。次に、キーと証明書を使用するようにMariaDBを設定する必要があります。これを行うには、/etc/mysql/mariadb.conf.d/50-server.cnfファイルを編集します。

sudo nano /etc/mysql/mariadb.conf.d/50-server.cnf

[mysqld]セクションの下に次の行を追加します。

ssl-ca=/etc/mysql-ssl/ca-cert.pem
ssl-cert=/etc/mysql-ssl/server-cert.pem
ssl-key=/etc/mysql-ssl/server-key.pem

##Change this value to connect the MariaDB server from another host.
bind-address = *

ファイルを保存してから、MariaDBサービスを再起動してこれらの変更を適用します。

sudo systemctl restart mysql

これで、SSL構成が機能しているかどうかを次のクエリで確認できます。

mysql -u root -p
MariaDB [(none)]> SHOW VARIABLES LIKE '%ssl%';

構成が成功した場合は、次の出力が表示されます。

+---------------+--------------------------------+
| Variable_name | Value                          |
+---------------+--------------------------------+
| have_openssl  | YES                            |
| have_ssl      | YES                            |
| ssl_ca        | /etc/mysql-ssl/ca-cert.pem     |
| ssl_capath    |                                |
| ssl_cert      | /etc/mysql-ssl/server-cert.pem |
| ssl_cipher    |                                |
| ssl_crl       |                                |
| ssl_crlpath   |                                |
| ssl_key       | /etc/mysql-ssl/server-key.pem  |
+---------------+--------------------------------+

上記の出力ではhave_ssl、have_openssl値が有効になっていることに注意してください。

ステップ4：SSL特権を持つユーザーを作成する

SSL経由でMariaDBサーバーにアクセスする権限を持つリモートユーザーを作成します。これを行うには、次のコマンドを実行します。

最初に、MySQLシェルにログインします。

mysql -u root -p

次に、ユーザーremoteを作成し、SSL経由でサーバーにアクセスするための特権を付与します。

MariaDB [(none)]>GRANT ALL PRIVILEGES ON *.* TO 'remote'@'192.168.0.191' IDENTIFIED BY 'password' REQUIRE SSL;

次に、次のコマンドで特権をフラッシュします。

MariaDB [(none)]>FLUSH PRIVILEGES;

最後に、次のコマンドでMySQLシェルを終了します。

MariaDB [(none)]>exit;

注： 192.168.0.191は、リモートユーザー（クライアント）マシンのIPアドレスです。

これで、サーバーはリモートユーザーへの接続を許可する準備ができました。

ステップ5：クライアント証明書を作成する

サーバー側の設定が完了しました。次に、クライアントの新しいキーと証明書を作成する必要があります。

サーバーマシンで、次のコマンドを使用してクライアントキーを作成します。

sudo cd /etc/mysql-ssl
sudo sudo openssl req -newkey rsa:2048 -days 365 -nodes -keyout client-key.pem -out client-req.pem

次に、次のコマンドでクライアントRSAキーを処理します。

sudo openssl rsa -in client-key.pem -out client-key.pem

最後に、次のコマンドでクライアント証明書に署名します。

sudo openssl x509 -req -in client-req.pem -days 365 -CA ca-cert.pem -CAkey ca-key.pem -set_serial 01 -out client-cert.pem

手順6：SSLを使用するようにMariaDBクライアントを構成する

すべての証明書とキーがクライアントで使用できるようになります。次に、すべてのクライアント証明書を、MariaDBクライアントを実行するクライアントマシンにコピーする必要があります。

MariaDBクライアントをクライアントマシンにインストールする必要があります。

まず、クライアントマシンで、次のコマンドを使用してMariaDBのキーをダウンロードします。

sudo apt-key adv --recv-keys --keyserver hkp://keyserver.ubuntu.com:80 0xF1656F24C74CD1D8

次に、MariaDBリポジトリを/etc/apt/sources.listファイルに追加します。

sudo echo "deb [arch=amd64,i386,ppc64el] http://ftp.utexas.edu/mariadb/repo/10.1/ubuntu xenial main" >> /etc/apt/sources.list

次に、次のコマンドでaptインデックスを更新します。

sudo apt-get update -y

aptインデックスが更新されたら、次のコマンドを使用して、MariaDBクライアントをクライアントマシンにインストールします。

sudo apt-get install mariadb-client -y

次に、すべての証明書を格納するディレクトリを作成します。

sudo mkdir /etc/mysql-ssl

次に、次のコマンドを使用して、サーバーマシンからクライアントマシンにすべてのクライアント証明書をコピーします。

sudo scp root@192.168.0.190:/etc/mysql-ssl/client-* /etc/mysql-ssl/

次に、SSLを使用するようにMariaDBクライアントを設定する必要があります。これを行うには、/etc/mysql/mariadb.conf.d/50-mysql-clients.cnfファイルを作成し ます。

sudo nano /etc/mysql/mariadb.conf.d/50-mysql-clients.cnf

次の行を追加します。

[client]
ssl-ca=/etc/mysql-ssl/ca-cert.pem
ssl-cert=/etc/mysql-ssl/client-cert.pem
ssl-key=/etc/mysql-ssl/client-key.pem

完了したらファイルを保存します。

手順7：リモート接続を確認する

すべてが設定されたので、MariaDBサーバーに正常に接続できるかどうかを確認します。

クライアントマシンで、次のコマンドを実行してMariaDBサーバーに接続します。

mysql -u remote -h 192.168.0.190 -p mysql

remoteユーザーパスワードの入力を求められます。パスワードを入力すると、リモートのMariaDBサーバーにログインします。

次のコマンドで接続のステータスを確認します。

MariaDB [mysql]> status

次の出力が表示されます。

--------------
mysql  Ver 15.1 Distrib 10.2.7-MariaDB, for debian-linux-gnu (x86_64) using readline 5.2

Connection id:      62
Current database:   mysql
Current user:       remote@192.168.0.191
SSL:            Cipher in use is DHE-RSA-AES256-SHA
Current pager:      stdout
Using outfile:      ''
Using delimiter:    ;
Server:         MariaDB
Server version:     10.0.31-MariaDB-0ubuntu0.16.04.2 Ubuntu 16.04
Protocol version:   10
Connection:     192.168.0.190 via TCP/IP
Server characterset:    utf8mb4
Db     characterset:    utf8mb4
Client characterset:    utf8
Conn.  characterset:    utf8
TCP port:       3306
Uptime:         1 hours 31 min 31 sec

SSL: Cipher in use is DHE-RSA-AES256-SHA上記の出力が表示されるはずです。つまり、接続はSSLで保護されています。

結論

おめでとう！SSLサポートを使用してMariaDBサーバーを正常に構成しました。SSL経由でMariaDBサーバーにアクセスするために、他のクライアントにアクセス権を付与できます。