乐趣区

关于mysql:故障分析-正确使用-authsocket-验证插件

作者:姚远
专一于 Oracle、MySQL 数据库多年,Oracle 10G 和 12C OCM,MySQL 5.6,5.7,8.0 OCP。当初鼎甲科技任技术顾问,为共事和客户提供数据库培训和技术支持服务。
本文起源:原创投稿
* 爱可生开源社区出品,原创内容未经受权不得随便应用,转载请分割小编并注明起源。


景象

一线的工程师反映了一个奇怪的景象,刚刚从 MySQL 官网上下载了一个 MySQL 5.7.31。装置实现后,发现应用任何明码都能登陆 MySQL,批改明码也不论用,重新启动 MySQL 也不能解决。

剖析

狐疑应用了 --skip-grant-tables 应用 mysqld --print-defaults 查看,没有发现。
查看登陆用户,都是 root@localhost,阐明和 proxy user 没有关系。

mysql> select user(),current_user();
+----------------+----------------+
| user()         | current_user() |
+----------------+----------------+
| root@localhost | root@localhost |
+----------------+----------------+
1 row in set (0.01 sec)

应用 mysql --print-defaults 查看客户端是否设置默认的用户和明码,没有发现。
查看数据库中的用户和明码的相干字段:

mysql> select user,host,authentication_string from mysql.user;
+------------------+-----------+------------------------------------------------------------------------+
| user             | host      | authentication_string                                                  |
+------------------+-----------+------------------------------------------------------------------------+
| lisi             | %         | *52BCD17AD903BEC378139B11966C9B91AC4DED7C |
| mysql.session    | localhost | *THISISNOTAVALIDPASSWORDTHATCANBEUSEDHERE |
| mysql.sys        | localhost | *THISISNOTAVALIDPASSWORDTHATCANBEUSEDHERE |
| root             | localhost | *1840214DE27E4E262F5D981E13317691BA886B76 |
+------------------+-----------+------------------------------------------------------------------------+
5 rows in set (0.01 sec)

发现所有都失常,再查看 plugin 字段,发现只有 root 用户是 auth_socket,其它的用户都是 mysql_native_password,问题可能就出在这儿。

mysql> select user,host,plugin  from mysql.user;
+------------------+-----------+-----------------------+
| user             | host      | plugin                |
+------------------+-----------+-----------------------+
| lisi             | %         | mysql_native_password |
| mysql.session    | localhost | mysql_native_password |
| mysql.sys        | localhost | mysql_native_password |
| root             | localhost | auth_socket           |
+------------------+-----------+-----------------------+
5 rows in set (0.02 sec)

问题解决

对 auth_socket 验证插件不理解,感觉是这个插件不平安,应用上面的命令批改后,问题解决:

update user set plugin="mysql_native_password" where user='root';

auth_socket 验证插件的应用场景

问题解决后,又认真钻研了一下 auth_socket 这个插件,发现这种验证形式有以下特点:

  • 首先,这种验证形式不要求输出明码,即便输出了明码也不验证。这个特点让很多人感觉很不平安,理论认真钻研一下这种形式,发现还是相当平安的,因为它有另外两个限度;
  • 只能用 UNIX 的 socket 形式登陆,这就保障了只能本地登陆,用户在应用这种登陆形式时曾经通过了操作系统的平安验证;
  • 操作系统的用户和 MySQL 数据库的用户名必须统一,例如你要登陆 MySQL 的 root 用户,必须用操作系统的 root 用户登陆。

auth_socket 这个插件因为有这些特点,它很适宜咱们在零碎投产前进行装置调试的时候应用,而且也有相当的安全性,因为零碎投产前通常常常同时应用操作系统的 root 用户和 MySQL 的 root 用户。当咱们在零碎投产后,操作系统的 root 用户和 MySQL 的 root 用户就不能轻易应用了,这时能够换成其它的验证形式,能够应用上面的命令进行切换:

ALTER USER 'root'@'localhost' IDENTIFIED WITH mysql_native_password BY 'test';
退出移动版