前言
作为世界上最流行的开源数据库,MySQL各方面的功能都在不断完善,比如密码管理这一块,从一开始最简单的用户名密码、到5.7版本的validate_password插件、再到8.0版本丰富多彩的密码策略,已经完全可以媲美DB2、Oracle、SQL Server等大型商业数据库;今天就给大家带来 MySQL 8.0新特性 — 密码管理。
密码管理
在MySQL 8.0版本中,针对密码管理这一块,做出了非常大的改进与完善,支持以下功能:
(1)密码认证插件
(2)密码过期策略
(3)密码复用策略
(4)密码修改验证策略
(5)双重密码支持
(6)密码强度策略
(7)随机密码生成
(8)登录失败追踪
密码认证插件
在MySQL 8.0版本中,支持以下3种密码认证插件:
(1)mysql_native_password:8.0之前默认
(2)caching_sha2_password:8.0默认
(3)sha256_password:可选
caching_sha2_password作为8.0默认的密码认证插件,其安全性强于mysql_native_password,性能优于sha256_password;但由于客户端和驱动的兼容性问题,建议还是采用mysql_native_password作为默认的密码认证插件。
如果采用caching_sha2_password作为默认的密码认证插件,那么在建立连接时,一定要指定RSA公钥,否则会报错“ERROR 2061 (HY000): Authentication plugin ‘caching_sha2_password’ reported error: Authentication requires secure connection.”,具体如下:
(1)mysql/mysqlbinlog/mysqldump/mysqlpump等:通过–server-public-key-path=”…”指定RSA公钥,或通过–get-server-public-key=1自动获取
(2)主从复制:通过MASTER_PUBLIC_KEY_PATH=”…”指定RSA公钥,或通过GET_MASTER_PUBLIC_KEY=1自动获取
(3)组复制:通过group_replication_recovery_public_key_path=”…”指定RSA公钥,或通过group_replication_recovery_get_public_key=1自动获取
关于RSA公钥和私钥,可以通过以下参数进行设置:
(1)caching_sha2_password_auto_generate_rsa_keys:是否自动生成RSA key
(2)caching_sha2_password_private_key_path:RSA private key所在的位置
(3)caching_sha2_password_public_key_path:RSA public key所在的位置
密码过期策略
密码过期策略,可以通过系统参数进行设置,对所有用户生效
$ vi my.cnf
default_password_lifetime = 180 --默认的密码有效期为180天
也可以通过SQL语句,对指定用户进行设置
mysql> alter user test@'%' password expire interval 90 day; --密码有效期为90天
mysql> alter user test@'%' password expire never; --密码永不过期
mysql> alter user test@'%' password expire default; --采用默认的密码有效期
还可以手动指定某用户过期
mysql> alter user test@'%' password expire;
密码复用策略
密码复用策略,可以通过系统参数进行设置,对所有用户生效
$ vi my.cnf
password_history = 6 --密码多少次不复用
password_reuse_interval = 365 --密码多少天不复用
也可以通过SQL语句,对指定用户进行设置
mysql> alter user test@'%' password history 6; --密码6次不复用
mysql> alter user test@'%' password reuse interval 365 day; --密码365天不复用
mysql> alter user test@'%' password history default reuse interval default; --采用默认的密码复用策略
密码修改验证策略
密码修改前,需要指定旧密码,才能进行修改;这也是大大提高了安全性,大大降低了 客户端记住密码/临时离开工位 导致密码被别人篡改的风险。
可以通过系统参数进行设置,对所有用户生效
$ vi my.cnf
password_require_current = on --启用密码修改验证策略
也可以通过SQL语句,对指定用户进行设置
mysql> alter user test@'%' password require current; --启用密码修改验证策略
mysql> alter user test@'%' password require current optional; --启用密码修改验证策略(非强制)
mysql> alter user test@'%' password require current default; --启用默认的密码修改验证策略
启用密码修改验证策略后,修改密码需要提供旧密码和新密码
mysql> alter user test@'%' identified by 'new_password' replace 'old_password';
双重密码支持
相信很多的开发、管理员和DBA都遇见过这样一个场景:修改完数据库用户密码,业务系统某个/某些模块立刻不可用,报密码错误;其实这种情况很常见,业务系统模块那么多,有时候会有遗漏不奇怪。双重密码,支持旧密码和新密码同时登录,就可以很好地规避这个问题,平滑地实现密码修改。
保留旧密码
mysql> alter user test@'%' identified by 'new_password' retain current password;
废弃旧密码
mysql> alter user test@'%' discard old password;
密码强度策略
在MySQL 5.7版本中,提供了validate_password的插件,实现密码强度策略;在MySQL 8.0版本中,官方是将validate_password改造成组件,并提供一系列系统参数,以实现密码强度策略。
首先,我们需要安装validate_password组件,通过以下SQL语句
mysql> INSTALL COMPONENT 'file://component_validate_password'; --安装组件
mysql> UNINSTALL COMPONENT 'file://component_validate_password'; --卸载组件
然后,我们可以通过以下系统参数,进行密码强度策略设置:
(1)validate_password.policy
low:只验证密码的长度
medium:验证密码的长度、数字、大小写、特殊字符
strong:验证密码的长度、数字、大小写、特殊字符、字典文件
(2)validate_password.check_user_name:设置是否验证用户名和密码一样
(3)validate_password.length:设置密码长度要求
(4)validate_password.number_count:设置密码数字要求
(5)validate_password.mixed_case_count:设置密码大小写要求
(6)validate_password.special_char_count:设置密码特殊字符要求
(7)validate_password.dictionary_file:设置字典文件(可以将常见弱口令写入字典文件,用于过滤)
密码随机生成
在MySQL 8.0中,还支持随机密码生成
mysql> alter user test@'%' identified by random password;
可以通过以下系统参数,对随机密码生成的长度进行控制
generated_random_password_length = 20 --随机密码生成长度
登录失败追踪
最后,再来看一下登录失败的问题;我们可以设置连续登录失败多少次,账号会被锁定多少天,具体如下:
mysql> alter user test@'%' failed_login_attempts 3 password_lock_time 3; --失败3次,锁定3天
总结
在MySQL 8.0版本中,密码管理这一块功能日趋完善,大大提高了MySQL数据库的安全性,尤其对政务行业、金融行业等监管要求高的企业来说,更具有吸引力。所以,大家是不是又多了一个升级8.0的理由了呢?