ProHoster > блог > адміністраванне > Як выкарыстоўваць MySQL без пароля (і рызык для бяспекі)

Як выкарыстоўваць MySQL без пароля (і рызык для бяспекі)

Як выкарыстоўваць MySQL без пароля (і рызык для бяспекі)

Кажуць, што лепшы пароль - той, які не трэба запамінаць. У выпадку з MySQL гэта рэальна дзякуючы плягіну гняздо_аўтэнтыфікацыі і яго версіі для MariaDB unix_socket.

Абодва гэтыя плагіны – зусім не новыя, пра іх шмат гаварылася ў гэтым жа блогу, напрыклад у артыкуле аб тым, як змяняць паролі ў MySQL 5.7, выкарыстоўваючы плягін auth_socket. Аднак, разбіраючы, што новенькага ў MariaDB 10.4, я выявіў, што unix_socket зараз усталёўваецца па змаўчанні і з'яўляецца адным з метадаў аўтэнтыфікацыі ("адным з", таму як у MariaDB 10.4 аднаму карыстачу для аўтэнтыфікацыі даступна больш аднаго плагіна, што і тлумачыцца ў дакуменце "Аўтэнтыфікацыя" ад MariaDB 10.04).

Як я ўжо сказаў, гэта - не навіны, і калі ўсталёўваеш MySQL, выкарыстоўваючы падтрымліваюцца камандай Debian пакеты .deb, карыстач з root-правамі ствараецца пад аўтэнтыфікацыю праз сокет. Гэта справядліва як для MySQL, так і для MariaDB.

root@app:~# apt-cache show mysql-server-5.7 | grep -i maintainers
Original-Maintainer: Debian MySQL Maintainers <[email protected]>
Original-Maintainer: Debian MySQL Maintainers <<a href="mailto:[email protected]">[email protected]</a>>

З пакетамі Debian для MySQL, root карыстач аўтэнтыфікуецца наступным чынам:

root@app:~# whoami
root=
root@app:~# mysql
Welcome to the MySQL monitor.  Commands end with ; or g.
Your MySQL connection id is 4
Server version: 5.7.27-0ubuntu0.16.04.1 (Ubuntu)

Copyright (c) 2000, 2019, Oracle and/or its affiliates. All rights reserved.
Oracle is a registered trademark of Oracle Corporation and/or its
affiliates. Other names may be trademarks of their respective
owners.

Type 'help;' or 'h' for help. Type 'c' to clear the current input statement.

mysql> select user, host, plugin, authentication_string from mysql.user where user = 'root';
+------+-----------+-------------+-----------------------+
| user | host      | plugin | authentication_string |
+------+-----------+-------------+-----------------------+
| root | localhost | auth_socket |                       |
+------+-----------+-------------+-----------------------+
1 row in set (0.01 sec)

Тое ж і ў выпадку з пакетам .deb для MariaDB:

10.0.38-MariaDB-0ubuntu0.16.04.1 Ubuntu 16.04

MariaDB [(none)]> show grants;
+------------------------------------------------------------------------------------------------+
| Grants for root@localhost                                                                      |
+------------------------------------------------------------------------------------------------+
| GRANT ALL PRIVILEGES ON *.* TO 'root'@'localhost' IDENTIFIED VIA unix_socket WITH GRANT OPTION |
| GRANT PROXY ON ''@'%' TO 'root'@'localhost' WITH GRANT OPTION                                  |
+------------------------------------------------------------------------------------------------+
2 rows in set (0.00 sec)

Пакеты .deb з афіцыйнага рэпазітара Percona таксама наладжваюць аўтэнтыфікацыю карыстача з root-правамі пад auth-socket і для Percona Server. Прывядзем прыклад з Percona Server for MySQL 8.0.16-7 і Ubuntu 16.04/XNUMX:

root@app:~# whoami
root
root@app:~# mysql
Welcome to the MySQL monitor.  Commands end with ; or g.
Your MySQL connection id is 9
Server version: 8.0.16-7 Percona Server (GPL), Release '7', Revision '613e312'

Copyright (c) 2009-2019 Percona LLC and/or its affiliates
Copyright (c) 2000, 2019, Oracle and/or its affiliates. All rights reserved.
Oracle is a registered trademark of Oracle Corporation and/or its
affiliates. Other names may be trademarks of their respective
owners.

Type 'help;' or 'h' for help. Type 'c' to clear the current input statement.

mysql> select user, host, plugin, authentication_string from mysql.user where user ='root';
+------+-----------+-------------+-----------------------+
| user | host      | plugin | authentication_string |
+------+-----------+-------------+-----------------------+
| root | localhost | auth_socket |                       |
+------+-----------+-------------+-----------------------+
1 row in set (0.00 sec)

Дык у чым жа магія? Убудова правярае, што карыстач Linux адпавядае карыстачу MySQL, выкарыстаючы сокет-опцыю SO_PEERCRED — каб сабраць інфармацыю пра карыстача, які запускае кліенцкую праграму. Такім чынам, убудова можна выкарыстоўваць толькі на сістэмах, якія падтрымліваюць опцыю SO_PEERCRED, накшталт той жа Linux. Сокет-опцыя SO_PEERCRED дазваляе даведвацца uid звязанага з сокетам працэсу. А пасля ён ужо атрымлівае злучанае з гэтым uid імя карыстача.

Прывядзем прыклад з карыстальнікам «vagrant»:

vagrant@mysql1:~$ whoami
vagrant
vagrant@mysql1:~$ mysql
ERROR 1698 (28000): Access denied for user 'vagrant'@'localhost'

Паколькі ў MySQL няма карыстальніка "vagrant", у доступе нам адмоўлена. Створым такога карыстальніка і паўторым спробу:

MariaDB [(none)]> GRANT ALL PRIVILEGES ON *.* TO 'vagrant'@'localhost' IDENTIFIED VIA unix_socket;
Query OK, 0 rows affected (0.00 sec)

vagrant@mysql1:~$ mysql
Welcome to the MariaDB monitor.  Commands end with ; or g.
Your MariaDB connection id is 45
Server version: 10.0.38-MariaDB-0ubuntu0.16.04.1 Ubuntu 16.04
Copyright (c) 2000, 2018, Oracle, MariaDB Corporation Ab and others.
Type 'help;' or 'h' for help. Type 'c' to clear the current input statement.

MariaDB [(none)]> show grants;
+---------------------------------------------------------------------------------+
| Grants for vagrant@localhost                                                    |
+---------------------------------------------------------------------------------+
| GRANT ALL PRIVILEGES ON *.* TO 'vagrant'@'localhost' IDENTIFIED VIA unix_socket |
+---------------------------------------------------------------------------------+
1 row in set (0.00 sec)

Атрымалася!

Ну, а як наконт не-Debian дыстрыбутыва, дзе гэта не прадугледжана па змаўчанні? Паспрабуем Percona Server for MySQL 8, усталяваны на CentOS 7:

mysql> show variables like '%version%comment';
+-----------------+---------------------------------------------------+
| Variable_name   | Value                                   |
+-----------------+---------------------------------------------------+
| version_comment | Percona Server (GPL), Release 7, Revision 613e312 |
+-----------------+---------------------------------------------------+
1 row in set (0.01 sec)

mysql> CREATE USER 'percona'@'localhost' IDENTIFIED WITH auth_socket;
ERROR 1524 (HY000): Plugin 'auth_socket' is not loaded

Аблом. Чаго ж не хапіла? Убудова не загружаны:

mysql> pager grep socket
PAGER set to 'grep socket'
mysql> show plugins;
47 rows in set (0.00 sec)

Дадамо ў працэс убудова:

mysql> nopager
PAGER set to stdout
mysql> INSTALL PLUGIN auth_socket SONAME 'auth_socket.so';
Query OK, 0 rows affected (0.00 sec)

mysql> pager grep socket; show plugins;
PAGER set to 'grep socket'
| auth_socket                     | ACTIVE | AUTHENTICATION | auth_socket.so | GPL     |
48 rows in set (0.00 sec)

Цяпер у нас ёсць усё неабходнае. Паспрабуем яшчэ разок:

mysql> CREATE USER 'percona'@'localhost' IDENTIFIED WITH auth_socket;
Query OK, 0 rows affected (0.01 sec)
mysql> GRANT ALL PRIVILEGES ON *.* TO 'percona'@'localhost';
Query OK, 0 rows affected (0.01 sec)

Цяпер можна ўвайсці ў сістэму пад лагінам "percona".

[percona@ip-192-168-1-111 ~]$ whoami
percona
[percona@ip-192-168-1-111 ~]$ mysql -upercona
Welcome to the MySQL monitor.  Commands end with ; or g.
Your MySQL connection id is 19
Server version: 8.0.16-7 Percona Server (GPL), Release 7, Revision 613e312

Copyright (c) 2009-2019 Percona LLC and/or its affiliates
Copyright (c) 2000, 2019, Oracle and/or its affiliates. All rights reserved.

Oracle is a registered trademark of Oracle Corporation and/or its
affiliates. Other names may be trademarks of their respective
owners.

Type 'help;' or 'h' for help. Type 'c' to clear the current input statement.

mysql> select user, host, plugin, authentication_string from mysql.user where user ='percona';
+---------+-----------+-------------+-----------------------+
| user    | host   | plugin   | authentication_string |
+---------+-----------+-------------+-----------------------+
| percona | localhost | auth_socket |                       |
+---------+-----------+-------------+-----------------------+
1 row in set (0.00 sec)

І зноў атрымалася!

Пытанне: ці атрымаецца ўвайсці ў сістэму пад тым жа лагінам percona, але ад іншага ользователя?

[percona@ip-192-168-1-111 ~]$ logout
[root@ip-192-168-1-111 ~]# mysql -upercona
ERROR 1698 (28000): Access denied for user 'percona'@'localhost'

Не, не атрымаецца.

Выснова

MySQL дастаткова гнуткая ў некалькіх аспектах, адзін з якіх - метад аўтэнтыфікацыі. Як відаць з гэтай пасады, доступ можна атрымаць без пароляў, на падставе карыстачоў АС. Гэта можа быць карысна пры вызначаных сцэнарах, і адзін з іх – калі мігруеце з RDS/Aurora на звычайную MySQL, карыстаючыся аўтэнтыфікацыяй базы дадзеных IAM, Каб па-ранейшаму атрымліваць доступ, але без пароляў.

Крыніца: habr.com

Дадаць каментар