作者:丹尼尔·古斯曼布尔戈斯
翻译:管长龙
原文:https://www.percona.com/blog/2019/11/01/use-mysql-without-a-password/

有人说最好的密码就是你不用记忆的。auth_socket 插件和 MariaDB 的 unix_socket 让这种想法在 MySQL 上变成可能。

  • auth_socket:https://dev.mysql.com/doc/refman/8.0/en/socket-pluggable-authentication.html
  • unix_socket:https://mariadb.com/kb/en/library/authentication-plugin-unix-socket/

这两个插件虽然不是新发布,但在 MariaDB 10.4 上 unix_socket 已经默认安装,并且是身份验证方法之一。

插件的安装和使用

如上所述,这不是新功能,即使使用 Debian 团队维护的 .deb 安装包安装 MySQL,也会创建 root 用户,以便使用套接字身份验证,对于 MySQL 和 MariaDB 都是如此:

root@app:~# apt-cache show mysql-server-5.7 | grep -i maintainers
Original-Maintainer: Debian MySQL Maintainers <pkg-mysql-maint@lists.alioth.debian.org>
Original-Maintainer: Debian MySQL Maintainers <<ahref="mailto:pkg-mysql-maint@lists.alioth.debian.org">pkg-mysql-maint@lists.alioth.debian.org</a>> 

安装后,root 用户验证过程如下:

root@app:~# whoami
root
root@app:~# mysql
Welcome to the MySQL monitor.  Commands end with ; or g.
Your MySQL connection id is 4
Server version: 5.7.27-0ubuntu0.16.04.1 (Ubuntu)Copyright (c) 2000, 2019, Oracle and/or its affiliates. All rights reserved.
Oracle is a registered trademark of Oracle Corporation and/or its
affiliates. Other names may be trademarks of their respective
owners.Type 'help;' or 'h' for help. Type 'c' to clear the current input statement.mysql> select user, host, plugin, authentication_string from mysql.user where user = 'root';
+------+-----------+-------------+-----------------------+
| user | host      | plugin | authentication_string |
+------+-----------+-------------+-----------------------+
| root | localhost | auth_socket |                       |
+------+-----------+-------------+-----------------------+
1 row in set (0.01 sec) 

与 MariaDB 相同:

10.0.38-MariaDB-0ubuntu0.16.04.1 Ubuntu 16.04MariaDB [(none)]> show grants;
+------------------------------------------------------------------------------------------------+
| Grants for root@localhost                                                                      |
+------------------------------------------------------------------------------------------------+
| GRANT ALL PRIVILEGES ON *.* TO 'root'@'localhost' IDENTIFIED VIA unix_socket WITH GRANT OPTION |
| GRANT PROXY ON ''@'%' TO 'root'@'localhost' WITH GRANT OPTION                                  |
+------------------------------------------------------------------------------------------------+
2 rows in set (0.00 sec) 

对于 Percona Server,来自官方 Percona Repo 的 .deb 软件包还将 root 用户身份验证设置为 auth_socket。这是适用于 MySQL 8.0.16-7 和 Ubuntu 16.04 的 Percona Server 的示例:

root@app:~# whoami
root
root@app:~# mysql
Welcome to the MySQL monitor.  Commands end with ; or g.
Your MySQL connection id is 9
Server version: 8.0.16-7 Percona Server (GPL), Release '7', Revision '613e312'Copyright (c) 2009-2019 Percona LLC and/or its affiliates
Copyright (c) 2000, 2019, Oracle and/or its affiliates. All rights reserved.
Oracle is a registered trademark of Oracle Corporation and/or its
affiliates. Other names may be trademarks of their respective
owners.Type 'help;' or 'h' for help. Type 'c' to clear the current input statement.mysql> select user, host, plugin, authentication_string from mysql.user where user ='root';
+------+-----------+-------------+-----------------------+
| user | host      | plugin | authentication_string |
+------+-----------+-------------+-----------------------+
| root | localhost | auth_socket |                       |
+------+-----------+-------------+-----------------------+
1 row in set (0.00 sec) 

那么,为何如此神奇?该插件使用 SO_PEERCRED 套接字选项,来检查 Linux 用户是否与 MySQL 用户匹配,以获取有关运行客户端程序的用户信息。因此该插件只能在支持 SO_PEERCRED 选项的系统上使用,例如:Linux。SO_PEERCRED 套接字选项允许检索连接到套接字的进程 uid。然后,他可以获取与 uid 关联的用户名。

vagrant@mysql1:~$ whoami
vagrant
vagrant@mysql1:~$ mysql
ERROR 1698 (28000): Access denied for user 'vagrant'@'localhost' 

由于 MySQL 不存在 'vagrant' 用户,因此访问被拒绝。让我们创建用户再次尝试:

MariaDB [(none)]> GRANT ALL PRIVILEGES ON *.* TO 'vagrant'@'localhost' IDENTIFIED VIA unix_socket;
Query OK, 0 rows affected (0.00 sec)vagrant@mysql1:~$ mysql
Welcome to the MariaDB monitor.  Commands end with ; or g.
Your MariaDB connection id is 45
Server version: 10.0.38-MariaDB-0ubuntu0.16.04.1 Ubuntu 16.04
Copyright (c) 2000, 2018, Oracle, MariaDB Corporation Ab and others.
Type 'help;' or 'h' for help. Type 'c' to clear the current input statement.MariaDB [(none)]> show grants;
+---------------------------------------------------------------------------------+
| Grants for vagrant@localhost                                                    |
+---------------------------------------------------------------------------------+
| GRANT ALL PRIVILEGES ON *.* TO 'vagrant'@'localhost' IDENTIFIED VIA unix_socket |
+---------------------------------------------------------------------------------+
1 row in set (0.00 sec) 

成功!!

现在,让我们在 CentOS 7 上安装的 Percona Server 版本 MySQL 8 上再试一试:

mysql> show variables like '%version%comment';
+-----------------+---------------------------------------------------+
| Variable_name   | Value                                   |
+-----------------+---------------------------------------------------+
| version_comment | Percona Server (GPL), Release 7, Revision 613e312 |
+-----------------+---------------------------------------------------+
1 row in set (0.01 sec)mysql> CREATE USER 'percona'@'localhost' IDENTIFIED WITH auth_socket;
ERROR 1524 (HY000): Plugin 'auth_socket' is not loaded 

失败了,原因是插件未加载:

mysql> pager grep socket
PAGER set to 'grep socket'
mysql> show plugins;
47 rows in set (0.00 sec) 

让我们在运行时添加插件:

mysql> nopager
PAGER set to stdout
mysql> INSTALL PLUGIN auth_socket SONAME 'auth_socket.so';
Query OK, 0 rows affected (0.00 sec)mysql> pager grep socket; show plugins;
PAGER set to 'grep socket'
| auth_socket  | ACTIVE | AUTHENTICATION | auth_socket.so | GPL |
48 rows in set (0.00 sec) 

现在我们有了所需的一切。让我们再试一次:

mysql> CREATE USER 'percona'@'localhost' IDENTIFIED WITH auth_socket;
Query OK, 0 rows affected (0.01 sec)
mysql> GRANT ALL PRIVILEGES ON *.* TO 'percona'@'localhost';
Query OK, 0 rows affected (0.01 sec) 

现在我们可以以操作系统用户 "percona" 的身份登录。

[percona@ip-192-168-1-111 ~]$ whoami
percona
[percona@ip-192-168-1-111 ~]$ mysql -upercona
Welcome to the MySQL monitor.  Commands end with ; or g.
Your MySQL connection id is 19
Server version: 8.0.16-7 Percona Server (GPL), Release 7, Revision 613e312
Type 'help;' or 'h' for help. Type 'c' to clear the current input statement.mysql> select user, host, plugin, authentication_string from mysql.user where user ='percona';
+---------+-----------+-------------+-----------------------+
| user    | host   | plugin   | authentication_string |
+---------+-----------+-------------+-----------------------+
| percona | localhost | auth_socket |                       |
+---------+-----------+-------------+-----------------------+
1 row in set (0.00 sec) 

再次成功!

问题:我可以尝试以其他的系统用户的身份使用 percona 登录吗?

[percona@ip-192-168-1-111 ~]$ logout
[root@ip-192-168-1-111 ~]# mysql -upercona
ERROR 1698 (28000): Access denied for user 'percona'@'localhost'

不,你不能!

结论

MySQL 在多个方面都足够灵活,其中之一就是身份验证方法。正如我们在这篇文章中所看到的,依靠系统用户可以在没有密码的情况下进行访问。这在几种情况下很有用,但仅提及一种情况:从 RDS / Aurora 迁移到常规 MySQL 并使用 IAM 数据库身份验证保持访问而无需使用密码。

无密码进去mysql_技术分享 | 安全地无密码登录 MySQL相关推荐

  1. mysql安全无密码登录_技术分享 | 安全地无密码登录 MySQL

    有人说最好的密码就是你不用记忆的.auth_socket 插件和 MariaDB 的 unix_socket 让这种想法在 MySQL 上变成可能. 这两个插件虽然不是新发布,但在 MariaDB 1 ...

  2. timestamp 转换 mysql_技术分享 | MySQL:timestamp 时区转换导致 CPU %sys 高的问题

    作者:高鹏 文章末尾有他著作的<深入理解 MySQL 主从原理 32 讲>,深入透彻理解 MySQL 主从,GTID 相关技术知识.本文为学习记录,可能有误请谅解. 这个问题是一个朋友遇到 ...

  3. fs.aio max nr mysql_技术分享 | MySQL 主机该如何配置 fs.aio-max-nr

    MySQL 默认是启用 innodb_use_native_aio,使用异步 IO 操作,MySQL 启动时所需 aio slot 若超过系统当前 fs.aio-max-nr 设置,则无法启动报错 I ...

  4. opening tables mysql_技术分享 | 大量 Opening tables 案例分析

    作者:xuty 本文来源:原创投稿 *爱可生开源社区出品,原创内容未经授权不得随意使用,转载请联系小编并注明来源. 一.现象 某项目反馈系统非常卡,登陆 MySQL 后发现大量 SQL 处于 Open ...

  5. sql server的密码采用自带什么密码技术存储_【技术分享】浅谈MYSQL 8.0新特性

    于树文 云技术管理处 01 MySQL 8.0中添加的功能 1. 新的系统字典表 整合了存储有关数据库对象信息的事务数据字典,所有的元数据都用InnoDB引擎进行存储. 2. 支持DDL 原子操作 I ...

  6. 技术分享 | 为什么我的 MySQL 客户端字符集为 latin1

    作者:秦广飞 爱可生 DBA 团队成员,负责项目日常问题处理及公司平台问题排查,对数据库有兴趣,对技术有想法.一入 IT 深似海,从此节操是路人. 本文来源:原创投稿 *爱可生开源社区出品,原创内容未 ...

  7. mysql 带宽字段_技术分享 | 网络带宽如何影响 MySQL 性能

    作者:Vadim Tkachenko 翻译:管长龙 网络是数据库基础架构的主要部分.但是,通常性能基准测试是在本地计算机上完成的,客户端和服务器并置在一起.这样做是为了简化结构并排除一个以上的变量(网 ...

  8. 【华为云技术分享】华为云MySQL新增MDL锁视图特性,快速定位元数据锁问题

    MDL锁(Metadata Lock),即元数据锁.元数据指的是描述数据的数据,对数据及信息资源的描述性信息,在数据库中元数据即数据字典信息,包括db,table,function,procedure ...

  9. 技术分享 | 两个单机 MySQL 该如何校验数据一致性

    作者:莫善 某互联网公司高级 DBA. 本文来源:原创投稿 *爱可生开源社区出品,原创内容未经授权不得随意使用,转载请联系小编并注明来源. 需求介绍 业务有两个 MySQL 集群是通过 MQ 进行同步 ...

最新文章

  1. vc++ 6.0对话框上无法显示中文(乱码)
  2. SQL server 两台服务器间连接查询
  3. MVC起始页面路径设置
  4. Kotlin 文档 .Google 正式确定将 Kotlin为android 开发语言
  5. 贪心(用了结构体排序)
  6. 亚马逊s3的使用方法_使用jclouds库在Amazon S3上上传
  7. 手机 html 折叠效果,HTML5仿苹果手机的面板合拢折叠效果
  8. 行存储索引改换成列存储索引_索引策略–第2部分–内存优化表和列存储索引
  9. java中的原型模式_java中的原型模式理解
  10. 大数据分析平台有哪些功能
  11. channelread0会被调用两次_[菜鸟SpringCloud入门]第四章:远程调用服务实战
  12. 小学计算机集体听课评课,小学语文听课笔记:教师集体听评课活动
  13. 通讯录管理软件Cardhop for Mac
  14. 最受家长们欢迎的10本家教好书
  15. 跑步时戴什么耳机好、最适合跑步用的耳机
  16. JS 应用篇(一):Underfined与Null的区别
  17. Spring基本使用
  18. 互联网寒冬!docker安装nacos集群
  19. CSS3实现雪碧图动画
  20. ChinaSoft 论坛巡礼 | 群智化软件测试技术和方法

热门文章

  1. BCH踏着优化升级路线,在数字货币界声名鹊起
  2. thinkphp 微信授权登录 以及微信实现分享
  3. JavaScript DOM 高级程序设计读书笔记二
  4. ES6中新增的字符串方法
  5. AES加密_ js与C#互通
  6. 如何使用 Druid 和 Kafka 构造 Kappa 架构完成流量分析
  7. 吴恩达成立新公司,签约富士康,专注制造业AI变革(附视频)
  8. eclipse上项目如何在resin中部署
  9. js 关于运算顺序的问题
  10. 积跬步,聚小流------Bootstrap学习记录(2)