비밀번호(및 보안 위험) 없이 MySQL을 사용하는 방법

가장 좋은 비밀번호는 기억할 필요가 없는 비밀번호라고 합니다. MySQL의 경우 플러그인 덕분에 가능합니다. 인증 소켓 MariaDB 버전 - 유닉스 소켓.

이 두 플러그인은 모두 전혀 새로운 것이 아닙니다. 동일한 블로그에서 이에 대해 많은 이야기가 있었습니다. auth_socket 플러그인을 사용하여 MySQL 5.7에서 비밀번호를 변경하는 방법. 그러나 MariaDB 10.4의 새로운 기능을 조사하는 동안 unix_socket이 이제 기본적으로 설치되고 인증 방법 중 하나("중 하나")라는 사실을 발견했습니다. 왜냐하면 MariaDB 10.4에서는 한 사용자가 인증을 위해 둘 이상의 플러그인을 사용할 수 있기 때문입니다. 문서에 설명되어 있습니다 MariaDB 10.04의 "인증").

내가 말했듯이 이것은 뉴스가 아니며 Debian 팀에서 지원하는 .deb 패키지를 사용하여 MySQL을 설치할 때 소켓 인증을 위해 루트 사용자가 생성됩니다. 이는 MySQL과 MariaDB 모두에 해당됩니다.

root@app:~# apt-cache show mysql-server-5.7 | grep -i maintainers
Original-Maintainer: Debian MySQL Maintainers <[email protected]>
Original-Maintainer: Debian MySQL Maintainers <<a href="mailto:[email protected]">[email protected]</a>>

MySQL용 Debian 패키지를 사용하면 루트 사용자가 다음과 같이 인증됩니다.

root@app:~# whoami
root=
root@app:~# mysql
Welcome to the MySQL monitor.  Commands end with ; or g.
Your MySQL connection id is 4
Server version: 5.7.27-0ubuntu0.16.04.1 (Ubuntu)

Copyright (c) 2000, 2019, Oracle and/or its affiliates. All rights reserved.
Oracle is a registered trademark of Oracle Corporation and/or its
affiliates. Other names may be trademarks of their respective
owners.

Type 'help;' or 'h' for help. Type 'c' to clear the current input statement.

mysql> select user, host, plugin, authentication_string from mysql.user where user = 'root';
+------+-----------+-------------+-----------------------+
| user | host      | plugin | authentication_string |
+------+-----------+-------------+-----------------------+
| root | localhost | auth_socket |                       |
+------+-----------+-------------+-----------------------+
1 row in set (0.01 sec)

MariaDB용 .deb 패키지의 경우도 마찬가지입니다.

10.0.38-MariaDB-0ubuntu0.16.04.1 Ubuntu 16.04

MariaDB [(none)]> show grants;
+------------------------------------------------------------------------------------------------+
| Grants for root@localhost                                                                      |
+------------------------------------------------------------------------------------------------+
| GRANT ALL PRIVILEGES ON *.* TO 'root'@'localhost' IDENTIFIED VIA unix_socket WITH GRANT OPTION |
| GRANT PROXY ON ''@'%' TO 'root'@'localhost' WITH GRANT OPTION                                  |
+------------------------------------------------------------------------------------------------+
2 rows in set (0.00 sec)

공식 Percona 저장소의 .deb 패키지도 auth-socket 및 Percona Server에 대한 루트 사용자 인증을 구성합니다. 예를 들어 보겠습니다. MySQL 8.0.16-7용 Percona 서버 및 우분투 16.04:

root@app:~# whoami
root
root@app:~# mysql
Welcome to the MySQL monitor.  Commands end with ; or g.
Your MySQL connection id is 9
Server version: 8.0.16-7 Percona Server (GPL), Release '7', Revision '613e312'

Copyright (c) 2009-2019 Percona LLC and/or its affiliates
Copyright (c) 2000, 2019, Oracle and/or its affiliates. All rights reserved.
Oracle is a registered trademark of Oracle Corporation and/or its
affiliates. Other names may be trademarks of their respective
owners.

Type 'help;' or 'h' for help. Type 'c' to clear the current input statement.

mysql> select user, host, plugin, authentication_string from mysql.user where user ='root';
+------+-----------+-------------+-----------------------+
| user | host      | plugin | authentication_string |
+------+-----------+-------------+-----------------------+
| root | localhost | auth_socket |                       |
+------+-----------+-------------+-----------------------+
1 row in set (0.00 sec)

그렇다면 마법은 무엇입니까? 플러그인은 클라이언트 프로그램을 실행하는 사용자에 대한 정보를 수집하기 위해 SO_PEERCRED 소켓 옵션을 사용하여 Linux 사용자가 MySQL 사용자와 일치하는지 확인합니다. 따라서 플러그인은 Linux와 같이 SO_PEERCRED 옵션을 지원하는 시스템에서만 사용할 수 있습니다. SO_PEERCRED 소켓 옵션을 사용하면 소켓과 관련된 프로세스의 uid를 찾을 수 있습니다. 그리고 그는 이미 이 uid와 관련된 사용자 이름을 받았습니다.

다음은 "vagrant" 사용자의 예입니다.

vagrant@mysql1:~$ whoami
vagrant
vagrant@mysql1:~$ mysql
ERROR 1698 (28000): Access denied for user 'vagrant'@'localhost'

MySQL에는 "방랑자" 사용자가 없으므로 액세스가 거부됩니다. 이러한 사용자를 생성하고 다시 시도해 보겠습니다.

MariaDB [(none)]> GRANT ALL PRIVILEGES ON *.* TO 'vagrant'@'localhost' IDENTIFIED VIA unix_socket;
Query OK, 0 rows affected (0.00 sec)

vagrant@mysql1:~$ mysql
Welcome to the MariaDB monitor.  Commands end with ; or g.
Your MariaDB connection id is 45
Server version: 10.0.38-MariaDB-0ubuntu0.16.04.1 Ubuntu 16.04
Copyright (c) 2000, 2018, Oracle, MariaDB Corporation Ab and others.
Type 'help;' or 'h' for help. Type 'c' to clear the current input statement.

MariaDB [(none)]> show grants;
+---------------------------------------------------------------------------------+
| Grants for vagrant@localhost                                                    |
+---------------------------------------------------------------------------------+
| GRANT ALL PRIVILEGES ON *.* TO 'vagrant'@'localhost' IDENTIFIED VIA unix_socket |
+---------------------------------------------------------------------------------+
1 row in set (0.00 sec)

그것은 나왔다!

음, 이것이 기본적으로 제공되지 않는 비데비안 배포판은 어떻습니까? CentOS 8에 설치된 MySQL 7용 Percona Server를 사용해 보겠습니다.

mysql> show variables like '%version%comment';
+-----------------+---------------------------------------------------+
| Variable_name   | Value                                   |
+-----------------+---------------------------------------------------+
| version_comment | Percona Server (GPL), Release 7, Revision 613e312 |
+-----------------+---------------------------------------------------+
1 row in set (0.01 sec)

mysql> CREATE USER 'percona'@'localhost' IDENTIFIED WITH auth_socket;
ERROR 1524 (HY000): Plugin 'auth_socket' is not loaded

버머. 무엇이 빠졌나요? 플러그인이 로드되지 않았습니다:

mysql> pager grep socket
PAGER set to 'grep socket'
mysql> show plugins;
47 rows in set (0.00 sec)

프로세스에 플러그인을 추가해 보겠습니다.

mysql> nopager
PAGER set to stdout
mysql> INSTALL PLUGIN auth_socket SONAME 'auth_socket.so';
Query OK, 0 rows affected (0.00 sec)

mysql> pager grep socket; show plugins;
PAGER set to 'grep socket'
| auth_socket                     | ACTIVE | AUTHENTICATION | auth_socket.so | GPL     |
48 rows in set (0.00 sec)

이제 우리는 필요한 모든 것을 갖췄습니다. 다시 해보자:

mysql> CREATE USER 'percona'@'localhost' IDENTIFIED WITH auth_socket;
Query OK, 0 rows affected (0.01 sec)
mysql> GRANT ALL PRIVILEGES ON *.* TO 'percona'@'localhost';
Query OK, 0 rows affected (0.01 sec)

이제 사용자 이름 “percona”를 사용하여 로그인할 수 있습니다.

[percona@ip-192-168-1-111 ~]$ whoami
percona
[percona@ip-192-168-1-111 ~]$ mysql -upercona
Welcome to the MySQL monitor.  Commands end with ; or g.
Your MySQL connection id is 19
Server version: 8.0.16-7 Percona Server (GPL), Release 7, Revision 613e312

Copyright (c) 2009-2019 Percona LLC and/or its affiliates
Copyright (c) 2000, 2019, Oracle and/or its affiliates. All rights reserved.

Oracle is a registered trademark of Oracle Corporation and/or its
affiliates. Other names may be trademarks of their respective
owners.

Type 'help;' or 'h' for help. Type 'c' to clear the current input statement.

mysql> select user, host, plugin, authentication_string from mysql.user where user ='percona';
+---------+-----------+-------------+-----------------------+
| user    | host   | plugin   | authentication_string |
+---------+-----------+-------------+-----------------------+
| percona | localhost | auth_socket |                       |
+---------+-----------+-------------+-----------------------+
1 row in set (0.00 sec)

그리고 그것은 다시 작동했습니다!

질문: 동일한 percona 로그인으로 다른 사용자로 시스템에 로그인할 수 있습니까?

[percona@ip-192-168-1-111 ~]$ logout
[root@ip-192-168-1-111 ~]# mysql -upercona
ERROR 1698 (28000): Access denied for user 'percona'@'localhost'

아뇨, 안되요.

출력

MySQL은 여러 측면에서 매우 유연하며 그 중 하나는 인증 방법입니다. 이 게시물에서 볼 수 있듯이 OS 사용자를 기준으로 비밀번호 없이 액세스할 수 있습니다. 이는 특정 시나리오에서 유용할 수 있으며 그 중 하나는 다음을 사용하여 RDS/Aurora에서 일반 MySQL로 마이그레이션할 때입니다. IAM 데이터베이스 인증계속해서 액세스할 수 있지만 비밀번호는 없습니다.

출처 : habr.com