目录
1.连接控制(connection_control)插件介绍
mysql
服务端包含一个插件库,可以自定义安装各类插件。connection_control
插件也是其中一种,主要用来控制客户端在登录操作连续失败一定次数后的响应的延迟。该插件可有效的防止客户端暴力登录的风险。该插件包含以下两个组件:
- connection_control:用来控制登录失败的次数及延迟响应时间。
- connection_control_failed_login_attempts:将登录失败的操作记录至
information_schema
系统库中。
连接控制插件文件的基本名称为 connection_control
。每个平台的文件名后缀有所不同(对于 unix
和类 unix
系统为 .so ,对于 windows
为 .dll
)。下面以 linux
系统为例来安装下 connection_control
插件,windows
系统只需要将 .so 改成 .dll 即可。
1.1 动态安装 connection_control 插件
mysql> install plugin connection_control soname 'connection_control.so'; query ok, 0 rows affected (0.04 sec) mysql> install plugin connection_control_failed_login_attempts soname 'connection_control.so'; query ok, 0 rows affected (0.01 sec)
1.2 验证插件状态
mysql> select -> plugin_name,plugin_status -> from -> information_schema.plugins -> where -> plugin_name like 'connection%'; +------------------------------------------+---------------+ | plugin_name | plugin_status | +------------------------------------------+---------------+ | connection_control | active | | connection_control_failed_login_attempts | active | +------------------------------------------+---------------+
1.3 安装完成后 可以看到相关系统变量
mysql> show variables like 'connection_control%'; +-------------------------------------------------+------------+ | variable_name | value | +-------------------------------------------------+------------+ | connection_control_failed_connections_threshold | 3 | | connection_control_max_connection_delay | 2147483647 | | connection_control_min_connection_delay | 1000 | +-------------------------------------------------+------------+
可以看出,插件安装还是很简单的,不过这个插件具体有什么作用呢?我们先来解释下相关系统变量:
connection_control_failed_connections_threshold
:允许帐户进行的连续失败尝试的次数。默认为 3 ,表示当连接失败 3 次后启用连接控制,0 表示不开启。connection_control_max_connection_delay
:超出阈值的连接失败的最大延迟(以毫秒为单位),默认 2147483647 毫秒,约 25 天。connection_control_min_connection_delay
:超过阈值的连接失败的最小延迟(以毫秒为单位),默认 1000 毫秒,即 1 秒。
至此,你可能明白了 connection_control
插件的作用,那就是当客户端连接数据库连续失败到达一定次数后,服务端会进行一段时间的响应延迟,连续失败尝试的次数越多,响应延迟时间越长。
2.连接控制实验
我们来具体做下实验,为了实验效果,这里将失败次数阈值设为 10 ,延迟最小时间设为 1 分钟,即当连续连接失败十次后,延迟响应时间最低为 1 分钟,下面我们故意输错密码来试试看:
2.1 初始状态
mysql> show variables like 'connection_control%'; +-------------------------------------------------+------------+ | variable_name | value | +-------------------------------------------------+------------+ | connection_control_failed_connections_threshold | 10 | | connection_control_max_connection_delay | 2147483647 | | connection_control_min_connection_delay | 60000 | +-------------------------------------------------+------------+ 3 rows in set (0.01 sec)
mysql> select * from information_schema.connection_control_failed_login_attempts; empty set (0.00 sec)
2.2 故意输错密码
[root@localhost ~]# mysql -utestuser -p123 mysql: [warning] using a password on the command line interface can be insecure. error 1045 (28000): access denied for user 'testuser'@'localhost' (using password: yes)
2.3 查看失败记录
mysql> select * from information_schema.connection_control_failed_login_attempts; +----------------+-----------------+ | userhost | failed_attempts | +----------------+-----------------+ | 'testuser'@'%' | 1 | +----------------+-----------------+ 1 row in set (0.00 sec) # 当连续失败次数超过阈值后 再次进行连接会产生延迟 即延迟一定时间后才会返回密码是否正确 mysql> select * from information_schema.connection_control_failed_login_attempts; +----------------+-----------------+ | userhost | failed_attempts | +----------------+-----------------+ | 'testuser'@'%' | 10 | +----------------+-----------------+ mysql> show processlist; +---------+----------+--------------------+--------------------+---------+-------+--------------------------------------+------------------+ | id | user | host | db | command | time | state | info | +---------+----------+--------------------+--------------------+---------+-------+--------------------------------------+------------------+ | 1817003 | root | localhost | null | query | 0 | starting | show processlist | | 1817091 | testuser | localhost | null | connect | 16 | waiting in connection_control plugin | null | +---------+----------+--------------------+--------------------+---------+-------+--------------------------------------+------------------+
正常情况下,输错密码是即刻返回错误的,当连续失败次数达到阈值后,再次进行连接尝试,则会延迟响应,具体表现就是一直卡着,到延迟结束后才返回错误。information_schema
系统库中的表会记录登录失败的用户名及失败次数,当延迟发生时,从 processlist
中也可以查到正在延迟的连接。若输入密码正确,则会取消延迟、重新计数。
于是乎,你应该理解了为什么此插件能防止客户端暴力破解,假设暴力破解每分钟尝试 120 次,现在启用该插件后,连续失败一定次数后就会响应延迟,并且随着失败次数的增加延迟时间也会增加,原来能立即开始下次破解,现在只能到延迟时间后才能发起下次尝试,所以能极大降低被暴力破解的风险。
不过启用连接控制插件后要注意是否存在延迟的连接,因为正在延迟的连接也是占用连接数的,可能会引起连接积压导致连接数不够用。所以当出现延迟的连接时,应尽快排查到底是那里在连接,确保密码输入正确。
若要启用此插件,注意要配置合适的阈值及延迟时间,并记得将这些参数写入配置文件。一般等保评测可能会有这项要求,这个时候连接控制插件会用得上。
到此这篇关于mysql
连接控制插件介绍的文章就介绍到这了,更多相关mysql
连接控制插件内容请搜索www.887551.com以前的文章或继续浏览下面的相关文章希望大家以后多多支持www.887551.com!