概述

MySQL社區(qū)版從5.7.11開始支持基于表的數(shù)據(jù)加密方案，模塊名為keyring_file，支持加密整張表。這種是加密方式其實是基于文件加密的，一旦mysqld讀取key啟動后，將會解密整張表的數(shù)據(jù)，在mysql服務內(nèi)，讀取的數(shù)據(jù)都是解密后的，也就是說對客戶端而言是無感知的。而這個key是本地存放的，mysql服務擁有讀寫這個key的權(quán)限。

總體看這種方案不太安全，原因是數(shù)據(jù)庫文件是加密的，但只要能有mysql服務的賬戶，那么訪問數(shù)據(jù)都是解密后的，加密不攻自破。而且解密key也是本地存放的，入侵者完全可以一并帶走。這種方案只能保證入侵者只拖走了數(shù)據(jù)庫文件后無法讀取內(nèi)容。

企業(yè)版MySQL額外的三種模塊

如果是企業(yè)版的mysql，那么還有另外三種加密方案。

1.keyring_encrypted_file

和我之前說的社區(qū)版差不多的，只是多了一個key。這個key用于加密解密數(shù)據(jù)庫用的key。安全性方面都差不多。

2.keyring_okv

相比本地存放key，本模塊使用KMIP存取key，相對更加安全。

3.keyring_aws

整合aws的密匙管理服務來管理加解密的key。進一步提高key的管理安全性。

四個加密模塊支持的加密類型

總結(jié)一下，四種方案都是文件加密，內(nèi)存解密方案，區(qū)別在于加解密的key存放方案。推薦使用keyring_okv和keyring_aws，并確保mysql賬戶的安全性和嚴格區(qū)分賬戶權(quán)限。

另外2種安全性不大。

實施步驟

OK，現(xiàn)在簡單講一下最簡單的keyring_file部署方案，提前說明下windows貌似無法使用這種方案，因為不知道為什么加密用的key總是無法生成。

1.使用最新版的mysql 5.7.21

使用yum apt 之類的工具安裝最新版的mysql 或者 下載源碼自行編譯安裝

sudo apt install mysql-5.7

2.啟用加密模塊

INSTALL PLUGIN keyring_file soname ‘keyring_file.so';

mysql> INSTALL PLUGIN keyring_file soname 'keyring_file.so';
Query OK, 0 rows affected (0.10 sec)

3.設(shè)置加密key存放路徑

set global keyring_file_data='/root/mysql-keyring/keyring';

mysql> set global keyring_file_data='/var/lib/mysql-keyring/keyring';
Query OK, 0 rows affected (0.00 sec)

4.永久啟用設(shè)置

上訴兩個步驟都是臨時的，重啟服務都會失效，我們把配置寫到配置文件里，確保重啟服務后也能生效

[mysqld]
early-plugin-load=keyring_file.so
keyring_file_data=/root/mysql-keyring/keyring

5.查看key的存放路徑

show global variables like ‘%keyring_file_data%';
mysql> show global variables like '%keyring_file_data%';
+-------------------+--------------------------------+
| Variable_name | Value |
+-------------------+--------------------------------+
| keyring_file_data | /var/lib/mysql-keyring/keyring |
+-------------------+--------------------------------+
1 row in set (0.00 sec)

6.查看啟用的模塊

查看下keyring_file模塊是否已經(jīng)被載入。

show plugins;

mysql> show plugins;
+----------------------------+----------+--------------------+-----------------+---------+
| Name | Status | Type | Library | License |
+----------------------------+----------+--------------------+-----------------+---------+
| binlog | ACTIVE | STORAGE ENGINE | NULL | GPL |
| mysql_native_password | ACTIVE | AUTHENTICATION | NULL | GPL |
| sha256_password | ACTIVE | AUTHENTICATION | NULL | GPL |
| PERFORMANCE_SCHEMA | ACTIVE | STORAGE ENGINE | NULL | GPL |
| CSV | ACTIVE | STORAGE ENGINE | NULL | GPL |
| MRG_MYISAM | ACTIVE | STORAGE ENGINE | NULL | GPL |
| MyISAM | ACTIVE | STORAGE ENGINE | NULL | GPL |
| InnoDB | ACTIVE | STORAGE ENGINE | NULL | GPL |
| INNODB_TRX | ACTIVE | INFORMATION SCHEMA | NULL | GPL |
| INNODB_LOCKS | ACTIVE | INFORMATION SCHEMA | NULL | GPL |
| INNODB_LOCK_WAITS | ACTIVE | INFORMATION SCHEMA | NULL | GPL |
| INNODB_CMP | ACTIVE | INFORMATION SCHEMA | NULL | GPL |
| INNODB_CMP_RESET | ACTIVE | INFORMATION SCHEMA | NULL | GPL |
 
。。。。。。(省略N條)
 
| keyring_file | ACTIVE | KEYRING | keyring_file.so | GPL |
+----------------------------+----------+--------------------+-----------------+---------+
45 rows in set (0.00 sec)

7.加密現(xiàn)有的表

alter table table encryption='Y';

mysql> create table cc (id int);
Query OK, 0 rows affected (0.01 sec)
 
mysql> alter table cc encryption='Y';
Query OK, 0 rows affected (0.06 sec)
Records: 0 Duplicates: 0 Warnings: 0

8.取消加密

alter table table encryption='N';

mysql> alter table cc encryption='N';
Query OK, 0 rows affected (0.01 sec)
Records: 0 Duplicates: 0 Warnings: 0