前言
近年来网络安全形式日趋严峻,为保障企业信息安全和业务连续性,越来越多的要求业务系统上线前需要满足等保要求。其中数据库作为存储数据的载体,安全更是重中之重。部分等保要求,mysql数据库不能通过直连方式连接,需使用SSH加密方式连接,保证数据的安全性。
本章我们介绍如何通过Navicat使用SSH加密方式连接MySQL数据库。
一、MySQL可以通过SSH方式和直接连接方式对比
MySQL可以通过SSH方式和直接连接方式进行连接,两者的主要区别如下:
(1) 安全性:SSH方式连接MySQL服务器是通过SSH协议进行加密通信的,因此更加安全可靠。而直接连接MySQL服务器时,数据传输是明文的,存在被窃取或篡改的风险。
(2) 连接方式:SSH方式连接MySQL服务器需要在中间增加一个SSH隧道,需要先连接到SSH服务器,再通过SSH隧道连接MySQL服务器。而直接连接MySQL服务器则直接连接MySQL服务器。
(3) 端口:SSH方式连接MySQL服务器需要打开SSH服务的端口,通常是22端口。而直接连接MySQL服务器需要打开MySQL服务的端口,通常是3306端口。
(4) 配置:SSH方式连接MySQL服务器需要配置SSH连接信息,包括SSH主机、SSH用户名、SSH密码等。而直接连接MySQL服务器需要配置MySQL连接信息,包括MySQL主机、MySQL用户名、MySQL密码等。
总的来说,通过SSH方式连接MySQL服务器相对于直接连接MySQL服务器更加安全可靠,但是需要在SSH服务器和MySQL服务器上都进行配置。而直接连接MySQL服务器则简单快捷,但是需要注意安全问题。具体连接方式选择取决于应用场景和安全要求。
二、禁止mysql用户连接数据库
mysql数据库默认同时只是直连和SSH加密连接,为满足等保安全要求,需禁用mysql用户直连数据库。
1、查看mysql账户访问权限
#查看mysql账户访问权限
mysql> select user,host from user;
+------------------+-----------+
| user | host |
+------------------+-----------+
| root | % |
| mysql.infoschema | localhost |
| mysql.session | localhost |
| mysql.sys | localhost |
| root | localhost |
| testdb | 172.27.1.1 |
| test | 172.27.% |
+------------------+-----------+
6 rows in set (0.00 sec)
host参数:
%: 表示允许任意IP地址访问
localhost:表示仅允许本地访问
172.27.1.1:表示仅允许172.27.1.1这个IP地址访问
172.27.%:表示允许172.27.0.0网段访问
2、限制用户仅能本地连接数据库
设置所有mysql用户host权限均为localhost,既所有mysql用户仅能本地连接数据库
#限制testdb用户仅能本地连接
mysql> update user set host='localhost' where user='testdb';
Query OK, 0 rows affected (0.00 sec)
Rows matched: 1 Changed: 0 Warnings: 0
#刷新策略
mysql> flush privileges;
Query OK, 0 rows affected (0.00 sec)
#查看mysql账户访问权限
mysql> select user,host from user;
+------------------+-----------+
| user | host |
+------------------+-----------+
| root | localhost |
| mysql.infoschema | localhost |
| mysql.session | localhost |
| mysql.sys | localhost |
| root | localhost |
| testdb | localhost |
+------------------+-----------+
6 rows in set (0.00 sec)
三、Navicat使用SSH方式连接Mysql
1、打开Navicat软件,并创建一个新的数据库连接。在"连接属性"中,选择"SSH"选项卡,填写mysql数据库所属服务器的SSH连接信息(包括SSH主机、SSH端口、SSH用户名和SSH密码),服务器验证方法可使用密钥,连接更加安全。
2、选择"常规"选项卡,填写MySQL数据库连接信息(包括MySQL端口、MySQL用户名和MySQL密码),MySQL主机处保持默认localhost即可。
点击"测试连接"按钮,确认连接信息无误后保存。
四、连接报错
问题现象:
使用SSH加密方式连接mysql数据库时提示:1045 - Access denied for user 'testdb'@'172.80.9.1' (using password: YES)
问题原因:
MySQL数据库是docker部署,通过SSH加密方式连接的服务器是docker容器宿主机,MySQL用户被限制localhost登录后,宿主机将无法访问MySQL容器。此时需要将MySQL用户连接限制改为仅能宿主机登录。
解决方法:
上面报错地址是MySQL容器网关地址,我们仅需给MySQL用户放行172.80.9.1这个网关地址就行。
例如:
#限制testdb用户仅能本地连接
mysql> update user set host='172.80.9.1' where user='testdb';
Query OK, 0 rows affected (0.00 sec)
Rows matched: 1 Changed: 0 Warnings: 0
#刷新策略
mysql> flush privileges;
Query OK, 0 rows affected (0.00 sec)
#查看mysql账户访问权限
mysql> select user,host from user;
+------------------+-----------+
| user | host |
+------------------+-----------+
| root | localhost |
| mysql.infoschema | localhost |
| mysql.session | localhost |
| mysql.sys | localhost |
| root | localhost |
| testdb | 172.80.9.1 |
+------------------+-----------+
6 rows in set (0.00 sec)
再次连接即可解决。
相关阅读
您阅读本篇文章共花了:
发表评论