MySQL連接控制插件介紹
前言:
當(dāng)連接數(shù)據(jù)庫失敗次數(shù)過多時(shí),MySQL 是否會(huì)限制登錄呢?數(shù)據(jù)庫服務(wù)端應(yīng)該怎么應(yīng)對(duì)暴力破解呢?本篇文章介紹下 MySQL 中的連接控制插件,一起來學(xué)習(xí)下此插件的作用。
1.連接控制(connection_control)插件介紹
MySQL 服務(wù)端包含一個(gè)插件庫,可以自定義安裝各類插件。connection_control 插件也是其中一種,主要用來控制客戶端在登錄操作連續(xù)失敗一定次數(shù)后的響應(yīng)的延遲。該插件可有效的防止客戶端暴力登錄的風(fēng)險(xiǎn)。該插件包含以下兩個(gè)組件:
CONNECTION_CONTROL:用來控制登錄失敗的次數(shù)及延遲響應(yīng)時(shí)間。
CONNECTION_CONTROL_FAILED_LOGIN_ATTEMPTS:將登錄失敗的操作記錄至 information_schema系統(tǒng)庫中。
連接控制插件文件的基本名稱為 connection_control 。每個(gè)平臺(tái)的文件名后綴有所不同(對(duì)于 Unix 和類 Unix 系統(tǒng)為 .so ,對(duì)于 Windows 為 .dll )。下面以 Linux 系統(tǒng)為例來安裝下 connection_control 插件,Windows 系統(tǒng)只需要將 .so 改成 .dll 即可。
# 動(dòng)態(tài)安裝 connection_control 插件
mysql> INSTALL PLUGIN CONNECTION_CONTROL SONAME 'connection_control.so';
Query OK, 0 rows affected (0.04 sec)
mysql> INSTALL PLUGIN CONNECTION_CONTROL_FAILED_LOGIN_ATTEMPTS SONAME 'connection_control.so';
Query OK, 0 rows affected (0.01 sec)
# 驗(yàn)證插件狀態(tài)
mysql> SELECT
-> PLUGIN_NAME,PLUGIN_STATUS
-> FROM
-> INFORMATION_SCHEMA.PLUGINS
-> WHERE
-> PLUGIN_NAME LIKE 'connection%';
+------------------------------------------+---------------+
| PLUGIN_NAME | PLUGIN_STATUS |
+------------------------------------------+---------------+
| CONNECTION_CONTROL | ACTIVE |
| CONNECTION_CONTROL_FAILED_LOGIN_ATTEMPTS | ACTIVE |
+------------------------------------------+---------------+
# 安裝完成后 可以看到相關(guān)系統(tǒng)變量
mysql> show variables like 'connection_control%';
+-------------------------------------------------+------------+
| Variable_name | Value |
+-------------------------------------------------+------------+
| connection_control_failed_connections_threshold | 3 |
| connection_control_max_connection_delay | 2147483647 |
| connection_control_min_connection_delay | 1000 |
+-------------------------------------------------+------------+可以看出,插件安裝還是很簡單的,不過這個(gè)插件具體有什么作用呢?我們先來解釋下相關(guān)系統(tǒng)變量:
connection_control_failed_connections_threshold:允許帳戶進(jìn)行的連續(xù)失敗嘗試的次數(shù)。默認(rèn)為 3 ,表示當(dāng)連接失敗 3 次后啟用連接控制,0 表示不開啟。
connection_control_max_connection_delay:超出閾值的連接失敗的最大延遲(以毫秒為單位),默認(rèn) 2147483647 毫秒,約 25 天。
connection_control_min_connection_delay:超過閾值的連接失敗的最小延遲(以毫秒為單位),默認(rèn) 1000 毫秒,即 1 秒。
至此,你可能明白了 connection_control 插件的作用,那就是當(dāng)客戶端連接數(shù)據(jù)庫連續(xù)失敗到達(dá)一定次數(shù)后,服務(wù)端會(huì)進(jìn)行一段時(shí)間的響應(yīng)延遲,連續(xù)失敗嘗試的次數(shù)越多,響應(yīng)延遲時(shí)間越長。
2.連接控制實(shí)驗(yàn)
我們來具體做下實(shí)驗(yàn),為了實(shí)驗(yàn)效果,這里將失敗次數(shù)閾值設(shè)為 10 ,延遲最小時(shí)間設(shè)為 1 分鐘,即當(dāng)連續(xù)連接失敗十次后,延遲響應(yīng)時(shí)間最低為 1 分鐘,下面我們故意輸錯(cuò)密碼來試試看:
# 初始狀態(tài)
mysql> show variables like 'connection_control%';
+-------------------------------------------------+------------+
| Variable_name | Value |
+-------------------------------------------------+------------+
| connection_control_failed_connections_threshold | 10 |
| connection_control_max_connection_delay | 2147483647 |
| connection_control_min_connection_delay | 60000 |
+-------------------------------------------------+------------+
3 rows in set (0.01 sec)
mysql> SELECT * FROM information_schema.CONNECTION_CONTROL_FAILED_LOGIN_ATTEMPTS;
Empty set (0.00 sec)
# 故意輸錯(cuò)密碼
[root@localhost ~]# mysql -utestuser -p123
mysql: [Warning] Using a password on the command line interface can be insecure.
ERROR 1045 (28000): Access denied for user 'testuser'@'localhost' (using password: YES)
# 查看失敗記錄
mysql> SELECT * FROM information_schema.CONNECTION_CONTROL_FAILED_LOGIN_ATTEMPTS;
+----------------+-----------------+
| USERHOST | FAILED_ATTEMPTS |
+----------------+-----------------+
| 'testuser'@'%' | 1 |
+----------------+-----------------+
1 row in set (0.00 sec)
# 當(dāng)連續(xù)失敗次數(shù)超過閾值后 再次進(jìn)行連接會(huì)產(chǎn)生延遲 即延遲一定時(shí)間后才會(huì)返回密碼是否正確
mysql> SELECT * FROM information_schema.CONNECTION_CONTROL_FAILED_LOGIN_ATTEMPTS;
+----------------+-----------------+
| USERHOST | FAILED_ATTEMPTS |
+----------------+-----------------+
| 'testuser'@'%' | 10 |
+----------------+-----------------+
mysql> show processlist;
+---------+----------+--------------------+--------------------+---------+-------+--------------------------------------+------------------+
| Id | User | Host | db | Command | Time | State | Info |
+---------+----------+--------------------+--------------------+---------+-------+--------------------------------------+------------------+
| 1817003 | root | localhost | NULL | Query | 0 | starting | show processlist |
| 1817091 | testuser | localhost | NULL | Connect | 16 | Waiting in connection_control plugin | NULL |
+---------+----------+--------------------+--------------------+---------+-------+--------------------------------------+------------------+正常情況下,輸錯(cuò)密碼是即刻返回錯(cuò)誤的,當(dāng)連續(xù)失敗次數(shù)達(dá)到閾值后,再次進(jìn)行連接嘗試,則會(huì)延遲響應(yīng),具體表現(xiàn)就是一直卡著,到延遲結(jié)束后才返回錯(cuò)誤。information_schema 系統(tǒng)庫中的表會(huì)記錄登錄失敗的用戶名及失敗次數(shù),當(dāng)延遲發(fā)生時(shí),從 processlist 中也可以查到正在延遲的連接。若輸入密碼正確,則會(huì)取消延遲、重新計(jì)數(shù)。
于是乎,你應(yīng)該理解了為什么此插件能防止客戶端暴力破解,假設(shè)暴力破解每分鐘嘗試 120 次,現(xiàn)在啟用該插件后,連續(xù)失敗一定次數(shù)后就會(huì)響應(yīng)延遲,并且隨著失敗次數(shù)的增加延遲時(shí)間也會(huì)增加,原來能立即開始下次破解,現(xiàn)在只能到延遲時(shí)間后才能發(fā)起下次嘗試,所以能極大降低被暴力破解的風(fēng)險(xiǎn)。
不過啟用連接控制插件后要注意是否存在延遲的連接,因?yàn)檎谘舆t的連接也是占用連接數(shù)的,可能會(huì)引起連接積壓導(dǎo)致連接數(shù)不夠用。所以當(dāng)出現(xiàn)延遲的連接時(shí),應(yīng)盡快排查到底是那里在連接,確保密碼輸入正確。
若要啟用此插件,注意要配置合適的閾值及延遲時(shí)間,并記得將這些參數(shù)寫入配置文件。一般等保評(píng)測可能會(huì)有這項(xiàng)要求,這個(gè)時(shí)候連接控制插件會(huì)用得上。
推薦閱讀
(點(diǎn)擊標(biāo)題可跳轉(zhuǎn)閱讀)
執(zhí)行update語句,用沒用到索引,區(qū)別大嗎?