Я решил отказаться от использования MySQL, а точнее полностью перевести все свои сервера на ее форк — MariaDB. Пользуясь случаем, хочу рассказать о процессе установки MariaDB 10.1 в Debian 8. Следует отметить, что краткое описание установки MariaDB есть на официальной странице проекта. Я решил выделить этому вопросу отдельный пост, в котором хочу описать необходимые действия после установки MariaDB на сервере.

Перед началом установки MariaDB необходимо добавить ее репозиторий. На сайте MariaDB рекомендуют для этого установить пакет software-properties-common . Я не вижу в этом никакого смысла и предпочитаю все делать вручную.

Регистрируем GPG-ключ репозитория в системе:

Apt-key adv --recv-keys --keyserver keyserver.ubuntu.com 0xcbcb082a1bb943db

Добавляем описание репозитория в файл sources.list . Открываем файл в редакторе nano:

Nano /etc/apt/sources.list

Копируем в конец следующие строки:

Deb http://lon1.mirrors.digitalocean.com/mariadb/repo/10.1/debian jessie main deb-src http://lon1.mirrors.digitalocean.com/mariadb/repo/10.1/debian jessie main

Обновляем список доступных пакетов:

Apt-get update

Запускаем процесс установки MariaDB 10.1:

Apt-get install mariadb-server

Во время установки нас попросят ввести пароль для пользователя root . На этом процесс установки MariaDB в Debian 8 закончен. А теперь переходим к настройке сервера.

Чтобы повысить надежность нашего сервера, нужно выполнить минимальные требования безопасности. Запретить авторизацию под пользователем root с удаленных хостов. При наличии базы test и пользователя anonymous , нужно удалить их с сервера. Чтобы облегчить задачу используйте скрипт:

Mysql_secure_installation

Тип хранения данных по умолчанию

Если необходимо изменить тип хранения данных по умолчанию, добавьте в файл my.cnf следующие строки:

Default-storage-engine = innodb

Убедитесь, что MariaDB использует таблицы InnoDB по умолчанию. Для этого выполните команду:

SHOW ENGINES;

Создать пользователя и базу MariaDB

Чтобы создать пользователя в MariaDB используйте команду ниже:

CREATE USER "USER_NAME"@"localhost" IDENTIFIED BY "PASSWORD";

Создаем новую базу:

CREATE DATABASE database_name;

Даем полные права пользователю USER_NAME на базу databasename:

GRANT ALL PRIVILEGES ON database_name.* TO "USER_NAME"@"localhost";

Теперь нужно обновить все привилегии:

FLUSH PRIVILEGES

Для просмотра привилегий выполните команду:

SHOW GRANTS FOR "USER_NAME"@"localhost";

Бинарные логи

MariaDB записывает все изменения БД в бинарный журнал, он необходим для работы механизма репликации. Если вы не делали бэкапов или они устарели, бинарные логи можно использовать для восстановления данных. Впрочем, нет никакой гарантии, что данные будут полностью или частично восстановлены. Успех будет зависеть от размера, времени хранения бинарных логов, частоты выполнения бэкапа.

Для отключения бинарных логов, комментируем строки в файле my.cnf:

#log_bin = /var/log/mysql/mariadb-bin #log_bin_index = /var/log/mysql/mariadb-bin.index

Сегодня займемся поднятием одной из наиболее востребованных ролей любого linux сервера, которые занимают в этом функциональном сегменте лидирующую роль. Настройка web сервера CentOS 7 на базе связки популярного http сервера apache , интерпретатора php и сервера баз данных mysql , или коротко — установка lamp. Данная связка является самой популярной конфигурацией на сегодняшний день среди веб хостинга. Хотя последнее время ей на пятки наступает та же компания, но на базе nginx, возможно уже и опередила, точных данных у меня нет на этот счет.

Данная статья является частью единого цикла статьей про сервер .

Web сервер на CentOS 7

Итак, наш веб сервер centos будет состоять из трех основных компонентов — http сервера apache , интерпретатора языка программирования php и сервера баз данных mysql . Познакомимся немного с каждым из них:

1. Apache — http сервер или просто веб сервер апач. Является кросплатформенным ПО, поддерживающим практически все популярные операционные системы, в том числе и Windows. Ценится прежде всего за свою надежность и гибкость конфигурации, которую можно существенно расширить благодаря подключаемым модулям, которых существует великое множество. Из недостатков отмечают большую требовательность к ресурсам, по сравнению с другими серверами. Держать такую же нагрузку, как, к примеру, nginx, apache не сможет при схожих параметрах железа.
2. PHP — язык программирования общего назначения, который чаще всего применяется в веб разработке. На сегодняшний день это самый популярный язык в этой области применения. Поддерживается практически всеми хостинг-провайдерами.
3. Mysql — система управления базами данных. Завоевала свою популярность в среде малых и средних приложений, которых очень много в вебе. Так что, как и php, на сегодняшний день является самой популярной бд, использующейся на веб сайтах. Поддерживается большинством хостингов. В CentOS вместо mysql устанавливается mariadb — ответвление mysql. Они полностью совместимы, возможен в любой момент переход с одной субд на другую и обратно. Последнее время я встречал информацию, что mariadb пошустрее работает mysql и люди потихоньку перебираются на нее. На практике мне не довелось это наблюдать, так как никогда не работал с нагруженными базами данных. А в обычных условиях разница не заметна.

Подопытным сервером будет выступать , характеристики следующие:

Процессор	2 ядра
Память	8 Gb
Диск	150 Gb SSD

Это кастомная настройка параметров. Они не оптимальны по цене, но мне были нужны именно такие.

Хочу сразу уточнить, что разбираю базовую дефолтную настройку. Для улучшения быстродействия, повышения надежности и удобства пользования нужно установить еще несколько инструментов, о чем я расскажу отдельно. В общем случае для организации веб сервера будет достаточно того, что есть в этой статье.

Если у вас еще нет сервера, то вам надо выполнить . А если сервер уже установлен, то не забудьте его . Рекомендую обратить внимание именно на настройку, так как там много полезной информации, которую в рамках этой статьи я не даю — обновление системы, настройка фаервола, установка редактора и многое другое.

Настройка apache в CentOS 7

В CentOS служба apache называется httpd . Когда я только знакомился с этим дистрибутивом, мне было непривычно. В Freebsd и Debian, с которыми я до этого работал служба веб сервера называлась apache, хотя где-то я замечал, кажется во фрюхе, что файл конфигурации имеет имя httpd.conf. До сих пор я не знаю, почему распространились оба эти названия. Был бы рад, если бы со мной кто-то поделился информацией на этот счет в комментариях.

Теперь приступим к установке apache . В CentOS 7 это делается очень просто:

# yum install -y httpd

Добавляем apache в автозагрузку:

# systemctl enable httpd

Запускаем apache в CentOS 7:

# systemctl start httpd

Проверяем, запустился ли сервер:

# netstat -tulnp | grep httpd tcp6 0 0:::80:::* LISTEN 21586/httpd

Все в порядке, повис на 80-м порту, как и положено. Уже сейчас можно зайти по адресу http://ip-address и увидеть картинку:

Теперь займемся настройкой apache. Я предпочитаю следующую структуру веб хостинга:

Создаем подобную структуру:

# mkdir /web && mkdir /web/site1.ru && mkdir /web/site1.ru/www && mkdir /web/site1.ru/logs # chown -R apache. /web

IncludeOptional conf.d/*.conf

Если нет, раскомментируем и идем в каталог /etc/httpd/conf.d. С оздаем там файл site1.ru.conf :

ServerName site1.ru ServerAlias www.site1.ru DocumentRoot /web/site1.ru/www Options FollowSymLinks AllowOverride All Require all granted ErrorLog /web/site1.ru/logs/error.log CustomLog /web/site1.ru/logs/access.log common

Перезапуск apache в centos

Теперь делаем restart apache :

# systemctl restart httpd

Если возникли какие-то ошибки — смотрим лог apache /var/log/httpd/error_log . Если все в порядке, то проверим, нормально ли настроен наш виртуальный хост. Для этого создадим в папке /web/site1.ru/www файл index.html следующего содержания:

# mcedit /web/site1.ru/www/index.html

Апач настроен!

# chown apache. /web/site1.ru/www/index.html

192.168.1.25 site1.ru

где 192.168.1.25 ip адрес нашего веб сервера.

Теперь в браузере набираем адрес http://site1.ru . Если видим картинку:

значит все правильно настроили. Если какие-то ошибки, то идем смотреть логи. Причем в данном случае не общий лог httpd , а лог ошибок конкретного виртуального хоста по адресу /web/site1.ru/logs/error.log .

Сразу же обращу ваше внимание на настройку ротации логов виртуальных хостов. Частенько бывает, что если сразу не настроишь, потом забываешь. Но если сайт с хорошей посещаемостью, то логи будут расти стремительно и могут занять очень много места. Лучше настроить ротацию логов веб сервера сразу же после создания. Сделать это не сложно.

Чтобы настроить ротацию логов виртуальных хостов, необходимо отредактировать файл /etc/logrotate.d/httpd . Он создается во время установки apache и включает в себя настройку ротации стандартного расположения логов. А так как мы перенесли логи каждого виртуального хоста в индивидуальную папку, необходимо добавить эти папки в этот файл:

# mcedit /etc/logrotate.d/httpd /web/*/logs/*.log /var/log/httpd/*log { missingok notifempty sharedscripts delaycompress postrotate /bin/systemctl reload httpd.service > /dev/null 2>/dev/null || true endscript }

В принципе, простейший веб сервер уже готов и им можно пользоваться. Но вряд ли сейчас найдутся сайты со статическим содержимым, которым достаточно поддержки только html. Так что продолжим нашу настройку.

Если вам необходимо организовать работу сайта по протоколу https , то воспользуйтесь руководством по .

Установка php в CentOS 7

Для поддержки динамического содержимого сайтов выполним следующий шаг. Установим php в CentOS 7:

# yum install -y php

И следом еще несколько полезных компонентов. Установим популярные модули для php :

# yum install -y php-mysql php-mbstring php-mcrypt php-devel php-xml php-gd

Выполним перезапуск apache:

# systemctl restart httpd

Создадим файл в директории виртуального хоста и проверим работу php:

# mcedit /web/site1.ru/www/index.php # chown apache. /web/site1.ru/www/index.php

Заходим по адресу http://site1.ru/index.php

Вы должны увидеть вывод информации о php. Если что-то не так, возникли какие-то ошибки, смотрите лог ошибок виртуального хоста, php ошибки будут тоже там.

Где лежит php.ini

После установки часто возникает вопрос, а где хранятся настройки php? Традиционно они находятся в едином файле настроек. В CentOS php.ini лежит в /etc , прямо в корне. Там можно редактировать глобальные настройки для все виртуальных хостов. Персональные настройки каждого сайта можно сделать отдельно в файле конфигурации виртуального хоста, который мы сделали раньше. Давайте добавим туда несколько полезных настроек:

# mcedit /etc/httpd/conf.d/site1.ru.conf

Добавляем в самый конец, перед

Php_admin_value date.timezone "Europe/Moscow" php_admin_value max_execution_time 60 php_admin_value upload_max_filesize 30M

Для применения настроек нужно сделать restart apache. Теперь в выводе phpinfo можно увидеть изменение настроек.

Обновление до php 5.6 в CentOS 7

В нашем примере мы установили на CentOS 7 php 5.4 из стандартного репозитория. А что делать, если нам нужна более новая версия, например php 5.6 ? В таком случае нужно выполнить обновление php.

# wget http://rpms.remirepo.net/enterprise/remi-release-7.rpm # rpm -Uvh remi-release-7*.rpm

Теперь обновляем php 5.4 до php 5.6 :

# yum --enablerepo=remi,remi-php56 install php php-common php-mysql php-mbstring php-mcrypt php-devel php-xml php-gd

Перезапускаем apache:

# systemctl restart httpd

И идем смотреть вывод phpinfo — http://site1.ru/index.php

Отлично, мы обновили php до версии 5.6.

Установка MySQL в CentOS 7

Как я уже писал ранее, сейчас все большее распространение получает форк mysql — mariadb . Она имеет полную совместимость с mysql, так что можно смело пользоваться. Я предпочитаю использовать именно ее.

Устанавливаем mariadb на CentOS 7:

# yum install -y mariadb mariadb-server

Добавляем mariadb в автозапуск:

# systemctl enable mariadb.service

Запускаем mariadb:

# systemctl start mariadb

Проверяем, запустилась или нет:

# netstat -tulnp | grep mysqld tcp 0 0 0.0.0.0:3306 0.0.0.0:* LISTEN 22276/mysqld

Обращаю внимание, что она даже в системе отображается как сервис mysqld . Теперь запускаем стандартный скрипт настройки безопасности:

# /usr/bin/mysql_secure_installation

Не буду приводить весь вывод работы этого скрипта, там все достаточно просто и понятно. Сначала задаем пароль для root (текущий пароль после установки пустой), потом удаляем анонимных пользователей, отключаем возможность подключаться root удаленно, удаляем тестового пользователя и базу.

Файл настроек mysql/mariadb лежит в /etc/my.cnf . Для обычной работы достаточно настроек по-умолчанию. Но если вы решите изменить их, не забудьте перезапустить службу баз данных.

Перезапуск mariadb /mysql в CentOS 7:

# systemctl restart mariadb

На этом все. Базовый функционал web сервера на CentOS 7 настроен.

Буду рад замечаниям и комментариям по теме статьи. Напоминаю, что данная статья является частью единого цикла статьей про сервер .

Практикум по Kali Linux

Курс для тех, кто интересуется проведением тестов на проникновение и хочет практически попробовать себя в ситуациях, близких к реальным. Курс рассчитан на тех, у кого еще нет опыта в информационной безопасности. Обучение длится 3 месяца по 4 часа в неделю. Что даст вам этот курс:

• Искать и эксплуатировать уязвимости или изъяны конфигурации в корпоративных сетях, web сайтах, серверах. Упор на пентест ОС Windows и на безопасность корпоративного сегмента.
• Изучение таких инструментов, как metasploit, sqlmap, wireshark, burp suite и многие другие.
• Освоение инструментария Kali Linux на практике - с ним должен быть знаком любой специалист по ИБ.

Проверьте себя на вступительном тесте и смотрите подробнее программу по.

Я собираюсь установить MariaDB SSL (Secure Sockets Layer) а также безопасные соединения от клиента MySQL и приложения PHP. Как включить SSL для сервера и клиента MariaDB, работающего в Linux или Unix-подобной системе?

MariaDB – сервер базы данных, который предлагает функциональные возможности вклинивания для сервера MySQL.

MariaDB был создан некоторыми из оригинальных авторов MySQL, с помощью более широкого штата разработчиков Free и другого программного обеспечения с открытым исходным кодом. В дополнение к основным функциям MySQL, MariaDB предлагает богатый набор улучшений функций, включая альтернативные механизмы хранения, оптимизацию серверов и другие исправления. В этом руководстве я собираюсь рассказать о том, как настроить сервер MariaDB с помощью SSL и как установить безопасные соединения с помощью консоли и PHP-скриптов.

При создании сертификатов SSL важно использовать 192.168.1.100 в качестве стандартного имени.

Шаг 1 – Установка MariaDB

Введите команду в соответствии с вашим вариантом Linux или Unix.

Установка MariaDB сервера/клиента на Ubuntu/Debian Linux

Введите одну из следующих команд: apt-get command или apt command:

$ sudo apt-get install mariadb-server mariadb-client

Установка MariaDB сервера/клиента на CentOS/RHEL/Fedora Linux

Введите следующую команду yum :

$ sudo yum install mariadb-server mariadb

Для пользователей Fedora Linux необходимо ввести команду dnf :

$ sudo dnf install mariadb-server mariadb

Установка MariaDB сервера/клиента на Arch Linux

Введите следующую команду pacman:

$ sudo pacman -S mariadb

Установка MariaDB сервера/клиента на FreeBSD unix

Для установки порта запустите:

# cd /usr/ports/databases/mariadb100-server/ && make install clean # cd /usr/ports/databases/mariadb100-client/ && make install clean

Чтобы добавить бинарный пакет, введите:

# pkg install mariadb100-server mariadb100-client

Шаг 2 – Обеспечение безопасной установки MariaDB

Введите следующую команду:

$ mysql_secure_installation

Рисунок.01: Обезопасьте установку MariaDB

Шаг 3 – Создайте CA сертификат

Создайте директорию под названием ssl в /etc/mysql/ directory :

$ cd /etc/mysql $ sudo mkdir ssl $ cd ssl

Значение : Стандартное значение имени (Common Name), используемое для сертификатов / ключей сервера и клиента, должно отличаться от стандартного значения имени (Common Name), используемого для сертификата CA. Чтобы избежать каких-либо проблем, я устанавливаю их следующим образом:

Стандартное имя CA: MariaDB admin
Стандартное имя сервера: MariaDB server
Стандартное имя клиента: MariaDB client

Введите следующую команду для создания нового CA ключа:

$ sudo openssl genrsa 2048 > ca-key.pem

Примеры возможных выводов данных:

Рисунок.02: Создание CA ключа

Введите следующую команду для создания сертификата с помощью этого ключа:

$ sudo openssl req -new -x509 -nodes -days 365000 -key ca-key.pem -out ca-cert.pem
Рисунок.03: Используя ключ CA, сгенерируйте сертификат CA для MariaDB

Примеры возможных выводов данных:

Теперь у вас должно быть два следующих файла::

1. /etc/mysql/ssl/ca-cert.pem – Файл сертификата для Центра сертификации (Certificate Authority (CA)).
2. /etc/mysql/ssl/ca-key.pem – Файл ключа для Центра сертификации (Certificate Authority (CA)).

Я собираюсь использовать оба файла для создания сертификатов сервера и клиента.

Шаг 4 – Создание сертификата сервера

Для создания ключа сервера, запустите:

$ sudo openssl req -newkey rsa:2048 -days 365000 -nodes -keyout server-key.pem -out server-req.pem

Примеры возможных выводов данных:

Рисунок 04: Создание ключа сервера для сервера MariaDB

Затем обработайте ключ RSA сервера, для этого введите:

$ sudo openssl rsa -in server-key.pem -out server-key.pem

Примеры возможных выводов данных:

Writing RSA key

Наконец, подпишите сертификат сервера, для этого запустите:

$ sudo openssl x509 -req -in server-req.pem -days 365000 -CA ca-cert.pem -CAkey ca-key.pem -set_serial 01 -out server-cert.pem

Примеры возможных выводов данных:

Signature ok subject=/C=AU/ST=Some-State/O=Internet Widgits Pty Ltd/CN=MariaDB server Getting CA Private Key

Теперь у вас должны появиться дополнительные файлы:

1. /etc/mysql/ssl/server-cert.pem – MariaDB файл сертификата сервера.
2. /etc/mysql/ssl/server-key.pem – MariaDB файл ключа сервера.

Вы должны использовать не менее двух файлов на сервере MariaDB и любых других узлах, которые вы собираетесь использовать для трафика кластера/репликации. Эти два файла будут защищать связь на стороне сервера.

Шаг 5 – Создание сертификата клиента

Клиент mysql, и приложение PHP/Python/Perl/Ruby будет использовать сертификат клиента для защиты соединяемости клиента. Вы должны установить следующие файлы на всех ваших клиентах, включая веб-сервер. Чтобы создать клиентский ключ, запустите:

$ sudo openssl req -newkey rsa:2048 -days 365000 -nodes -keyout client-key.pem -out client-req.pem

Примеры возможных выводов данных:

Рисунок.05: Создание ключа клиента для сервера MariaDB

Затем обработайте ключ клиента RSA, для этого введите

$ sudo openssl rsa -in client-key.pem -out client-key.pem writing RSA key

Наконец, подпишите сертификат клиента, для этого запустите:

$ sudo openssl x509 -req -in client-req.pem -days 365000 -CA ca-cert.pem -CAkey ca-key.pem -set_serial 01 -out client-cert.pem

Примеры возможных выводов данных:

Signature ok subject=/C=AU/ST=Some-State/O=Internet Widgits Pty Ltd/CN=MariaDB client Getting CA Private Key

Шаг 6 – Как проверить сертификаты?

Введите следующую команду, чтобы проверить сертификаты, чтобы убедиться, что все было создано правильно:

$ openssl verify -CAfile ca-cert.pem server-cert.pem client-cert.pem

Примеры возможных выводов данных:

Server-cert.pem: OK client-cert.pem: OK

Не должно быть никаких ошибок, и вы должны получить ответ OK для сертификатов сервера и клиента.

Шаг 7 – Настройте сервер MariaDB для использования SSL

Отредактируйте файл vi /etc/mysql/mariadb.conf.d/50-server.cnf или /etc/mysql/mariadb.cnf следующим образом:

$ sudo vi /etc/mysql/mariadb.conf.d/50-server.cnf

Добавьте следующим образом:

### MySQL Server ### ## Securing the Database with ssl option and certificates ## ## There is no control over the protocol level used. ## ## mariadb will use TLSv1.0 or better. ## ssl ssl-ca=/etc/mysql/ssl/ca-cert.pem ssl-cert=/etc/mysql/ssl/server-cert.pem ssl-key=/etc/mysql/ssl/server-key.pem

Сохраните и закройте файл. Вы можете перезапустить mariadb следующим образом:

$ sudo /etc/init.d/mysql restart

$ sudo systemctl restart mysql

Шаг 8 – Настройте клиент MariaDB для использования SSL

Настройте MariaDB клиент как 192.168.1.200 для использования SSL (добавьте в /etc/mysql/mariadb.conf.d/50-mysql-clients.cnf ):

$ sudo vi /etc/mysql/mariadb.conf.d/50-mysql-clients.cnf

Добавьте в раздел:

## MySQL Client Configuration ## ssl-ca=/etc/mysql/ssl/ca-cert.pem ssl-cert=/etc/mysql/ssl/client-cert.pem ssl-key=/etc/mysql/ssl/client-key.pem ### This option is disabled by default ### ### ssl-verify-server-cert ###

Сохраните и закройте файл. Вы должны скопировать файлы /etc/mysql/ssl/ca-cert.pem , /etc/mysql/ssl/client-cert.pem и /etc/mysql/ssl/client-key.pem для всех ваших клиентов. Например:

{vivek@server}: rsync /etc/mysql/ssl/ca-cert.pem /etc/mysql/ssl/client-cert.pem /etc/mysql/ssl/client-key.pem \ user@client:/etc/mysql/ssl

Шаг 9 – Проверка

Введите следующую команду:

$ mysql -u {User-Name-Here} -h {Server-IP-here} -p {DB-Name-Here} $ mysql -u root -h 192.168.1.100 -p mysql $ mysql -u root -h 127.0.0.1 -p mysql

Введите следующую SHOW VARIABLES LIKE ‘%ssl%’; команду в MariaDB [(none)]> строке:

MariaDB [(none)]> SHOW VARIABLES LIKE "%ssl%";

ИЛИ выполните команду status:

MariaDB [(none)]> status;

Примеры возможных выводов данных:

Рисунок 06: Установление безопасного соединения с консолью и ее проверка

Проверьте соединения SSL и TLS. Следующая команда должна завершиться неудачей, так как ssl 3 не поддерживается и, соответственно, она не настроена для использования:

$ openssl s_client -connect 192.168.1.100:3306 -ssl3 140510572795544:error:140A90C4:SSL routines:SSL_CTX_new:null ssl method passed:ssl_lib.c:1878:

Проверьте TLS v 1/1.1/1.2:

$ openssl s_client -connect 192.168.1.100:3306 -tls1 $ openssl s_client -connect 192.168.1.100:3306 -tls1_1 $ openssl s_client -connect 192.168.1.100:3306 -tls1_2

Примеры возможных выводов данных:

CONNECTED(00000003) --- no peer certificate available --- No client certificate CA names sent --- SSL handshake has read 5 bytes and written 7 bytes --- New, (NONE), Cipher is (NONE) Secure Renegotiation IS NOT supported Compression: NONE Expansion: NONE No ALPN negotiated SSL-Session: Protocol: TLSv1 Cipher: 0000 Session-ID: Session-ID-ctx: Master-Key: Key-Arg: None PSK identity: None PSK identity hint: None SRP username: None Start Time: 1485335036 Timeout: 7200 (sec) Verify return code: 0 (ok) ---

Как читать файл захвата пакета tcpdump для проверки защищенной связи

Наконец, вы можете использовать анализатор пакетов команд tcpdump, который запускается под командной строкой, чтобы посмотреть порт 3306:

$ sudo tcpdump -i eth0 -s 65535 port 3306 -w /tmp/mysql.pcap

Теперь подключитесь к вашему приложению PHP/Python/Perl/Ruby mysql или консольному приложению mysql:

$ mysql -u bar -h 192.168.1.100 -p foo

Используйте tcpdump для проверки того, что никакая текстовая информация, включая пароли, не обменивается между сервером и клиентом. Это делается следующим образом:

$ tcpdump -r /tmp/mysql.pcap | less

Шаг 10 – Добавлениепользователя на MariaDB сервер

Введите следующую команду:

$ mysql -u root –p

Создайте базу данных под названием foo :

CREATE DATABASE foo;

Создайте пользователя с имение bar for для базы данных под названием foo :

GRANT ALL ON foo.* TO bar@localhost IDENTIFIED BY "mypassword" REQUIRE SSL;

Предоставление доступа с веб-сервера, размещенного по адресу 192.168.1.200 :

GRANT ALL ON foo.* TO [email protected] IDENTIFIED BY "mypassword" REQUIRE SSL;

Создайте безопасное соединение из оболочки bash

Вы можете войти в систему с консоли следующим образом:

$ mysql -u bar -p -h 192.168.1.100 foo

Создайте безопасное соединение из Python

Сначала установите интерфейс Python для MySQL:

$ sudo apt-get install python-mysql.connector

ИЛИ для Python v3.x

$ sudo apt-get install python3-mysql.connector

Здесь приведен пример кода Python для безопасного соединения с использованием:

#!/usr/bin/python import MySQLdb ssl = {"cert": "/etc/mysql/ssl/client-cert.pem", "key": "/etc/mysql/ssl/client-key.pem"} conn = MySQLdb.connect(host="192.168.1.100", user="bar", passwd="mypassword", ssl=ssl) cursor = conn.cursor() cursor.execute("SHOW STATUS LIKE "Ssl_cipher"") print cursor.fetchone()

#!/usr/bin/python # Note (Example is valid for Python v2 and v3) from __future__ import print_function import sys import mysql.connector from mysql.connector.constants import ClientFlag config = { "user": "bar", "password": "mypassword", "host": "192.168.1.100", "client_flags": , "ssl_ca": "/etc/mysql/ssl/ca-cert.pem", "ssl_cert": "/etc/mysql/ssl/client-cert.pem", "ssl_key": "/etc/mysql/ssl/client-key.pem", } cnx = mysql.connector.connect(**config) cur = cnx.cursor(buffered=True) cur.execute("SHOW STATUS LIKE "Ssl_cipher"") print(cur.fetchone()) cur.close() cnx.close()

Примеры возможных выводов данных:

("Ssl_cipher", "DHE-RSA-AES256-SHA")

Начиная с версии Debian 9 популярную систему управления базами данных MySQL заменила MariaDB. Данная СУБД является ответвлением от MySQL созданная ее первоначальными разработчиками, которые оказались недовольны лицензионной политикой Oracle и испытывали опасения, что MySQL может стать более закрытым продуктом. MariaDB является полностью совместимой с MySQL, а это значит, что замена произойдет максимально прозрачно и все приложения, которые работали с MySQL также будут работать с MariaDB. А мы же рассмотрим некоторые особенности этого перехода.

Прежде всего скажем, что все команды, инструкции, скрипты и т.д. и т.п. которые раньше работали с MySQL будут также работать с MariaDB, никаких изменений вносить не нужно и многие пользователи просто могут не заметить, что работают с другой СУБД.

Но есть и отличия, прежде всего они касаются безопасности и были внесены командой Debian. Одним из основных отличий является то, то MariaDB входящая в состав Debian 9 не запрашивает пароль root при установке . После чего пользователь остается в некоторой растерянности, а что делать дальше? Масла в огонь подливает тот факт, что большинство инструкций в сети интернет рассматривают управление MySQL сугубо через панель управления phpMyAdmin, и не имеющие навыков работы в командной строке пользователи оказываются в особо беспомощном состоянии.

"Как установить пароль root в MariaDB " в разных вариациях является одним из популярных поисковых запросов, связанных с этой СУБД. Но не будем рубить с плеча, а сначала разберемся, что сделали разработчики Debian и для чего.

Самой большой проблемой безопасности MySQL является то, что учетные данные для доступа к БД хранятся в конфигурационных файлах веб-приложений открытым текстом. С учетом того, что многие пользователи не заморачиваются и делают владельцем всех баз суперпользователя root - проблема становится довольно серьезной. А если учесть, что доступ к файлам веб-приложений может иметь достаточно широкий круг лиц, включая не только сотрудников, но и фрилансеров - становится совсем плохо.

Поэтому в Debian для суперпользователя root в MariaDB предусмотрена аутентификация через UNIX-сокет и реализована она таким образом, что неограниченный доступ к MariaDB может получить только суперпользовтаель системы и только в режиме командной строки. С точки зрения безопасности это очень правильно, так как теперь сторонние пользователи и веб-приложения не смогут получить доступ с правами root, даже если они каким-то образом узнали пароль.

Все это хорошо, но что делать обычному пользователю, который поставил MariaDB на свой сервер и хочет залить на нее дамп базы сайта? Прежде всего завести пользователя, лучше даже не одного. Для этого поднимем свои права в системе до root через su или sudo и выполним команду:

Mysql -u root

После чего вы окажетесь в командной строке MariaDB. Для того, чтобы создать нового пользователя выполним команду:

create user "andrey" @ "localhost" identified by "password" ;

В нашем примере мы создали пользователя andrey с паролем password .

Теперь назначим ему права. Прежде всего явно заберем права на чужие базы:

grant usage on *.* to "andrey"@"localhost";

И выдадим полные права на базы с шаблоном имени andrey_basename, такой подход позволит автоматически давать права всем новым базам которые будет создавать пользователь.

grant all privileges on `andrey\_%`.* to "andrey"@"localhost";

Обратите внимание, что шаблон оборачивается символами грависа (`) , который находится на клавише с русской буквой Ё.

Остается только перезагрузить привелегии и выйти из консоли MariaDB

flush privileges;
quit;

После чего можно вернуться к привычным инструментам работы с MySQL/MariaDB, например, phpMyAdmin:

Обратите внимание, что данный способ, в отличие от распространенных рекомендаций "включить root в MariaDB", позволяет сохранить повышенную безопасность системы, что важно, если доступ к ней будут иметь третьи лица. Также мы не советуем держать все базы под одним пользователем, в идеале один сайт (или иное приложение) - один пользователь, это позволит без лишних затрат времени и сил сменить пароль в случае его компрометации или ее потенциальной возможности (скажем вы привлекали для работ с сайтом фрилансера).

Установка MariaDB из репозиториев разработчика

Операционная система Debian имеет много достоинств, одно из них, за которое его больше всего любят - это стабильность. Настроил и забыл - это как раз про него, но оборотной стороной такого подхода является консервативность, многие пакеты имеют не столь свежие версии, как иногда хотелось бы. В настоящий момент вместе с Debian 9 поставляется MariaDB 10.1, в то время как текущими версиями являются 10.2 и 10.3.

Поэтому если вам нужны какие-то новые функции MariaDB или вы просто хотите использовать последние стабильные версии софта, то можете установить MariaDB непосредственно из репозиториев разработчика. Сделать это несложно, но перед любым потенциально опасным действием следует сделать полную резервную копию вашего сервера.

Для этого выполните в консоли сервера с правами суперпользователя следующую команду:

Mysqldump -u root --all-databases > ~/my_backup.sql

Эта команда сохранит все базы MariaDB, включая служебные, в файл my_backup.sql в директории /root и, если что-то пойдет не так, вы всегда сможете восстановить состояние вашего сервера на момент создания копии.

Получить инструкции по установке можно на специальной странице официального сайта.

Сделана она очень удобно: вы выбираете свой дистрибутив, его выпуск, версию СУБД и зеркало - после чего получаете готовую инструкцию для установки. Чтобы сэкономить вам время приведем ее здесь (мы будем устанавливать MariaDB 10.3 на Debian 9):

Apt-get install software-properties-common dirmngr
apt-key adv --recv-keys --keyserver keyserver.ubuntu.com 0xF1656F24C74CD1D8
add-apt-repository "deb http://mirror.mephi.ru/mariadb/repo/10.3/debian stretch main"

Чтобы вы понимали, что делаете кратко прокомментируем эти команды. Первая из них добавляет в систему нужные зависимости, вторая устанавливает ключ, которым подписаны пакеты и третья, наконец, добавляет в систему сам репозиторий.

Теперь обновим список пакетов:

Apt-get update

и установим новую версию MariaDB:

Apt-get install mariadb-server

Обратите внимание, что пакетный менеджер корректно удалит предыдущую версию и установит новую, все базы данных при этом сохранятся и продолжат работать с новой версией MariaDB.

Второй момент, при установке MariaDB от разработчиков инсталлятор попросит у вас задать пароль root, так как в этой версии аутентификация через UNIX-сокет не используется.

Кого-то может это и порадует, но если вы успели понять и оценить все достоинства способа от разработчиков Debain, то возникнет резонный вопрос: а можно ли вернуть как было? Можно. Для этого откройте конфигурационный файл /etc/mysql/mariadb.conf.d/50-server.cnf и добавьте в секцию строку:

Plugin-load-add = auth_socket.so

Перезапустим СУБД:

Service mysqld restart

Попробуем войти из учетной записи обычного пользователя:

Несмотря на то, что система спросит нас пароль и мы его правильно введем - в доступе нам будет все равно отказано. Повторим попытку через phpMyAdmin:

И здесь успеха у нас не будет. Отлично! Теперь доступ с правами суперпользователя СУБД имеет только суперпользователь системы и нам не нужно беспокоиться, что пароль root MariaDB станет известен кому-либо.

2 января, 2017 12:16 пп 13 224 views | Комментариев нет

Требования

• Сервер CentOS 7.
• Пользователь с доступом к sudo.

Все необходимые инструкции можно найти в .

1: Установка MariaDB

Чтобы установить MariaDB, используйте репозиторий Yum. Запустите следующую команду и нажмите y, чтобы продолжить.

sudo yum install mariadb-server

После завершения установки запустите демон:

sudo systemctl start mariadb

Команда systemctl не показывает вывод некоторых команд. Чтобы убедиться, что демон запущен, введите:

sudo systemctl status mariadb

Если демон MariaDB был запущен, в выводе команды будут строки:

Active: active (running)
[…]
Dec 01 19:06:20 centos-512mb-sfo2-01 systemd: Started MariaDB database server.

Теперь нужно настроить автозапуск MariaDB. Для этого введите:

sudo systemctl enable mariadb
Created symlink from /etc/systemd/system/multi-user.target.wants/mariadb.service to /usr/lib/systemd/system/mariadb.service.

После этого нужно обеспечить безопасность данных.

2: Безопасность MariaDB

После завершения установки нужно запустить встроенный сценарий безопасности MariaDB, который изменяет некоторые опции по умолчанию и блокирует удалённый root-логин. Чтобы запустить сценарий, введите:

sudo mysql_secure_installation

Сценарий предоставляет подробное описание каждого шага. Сначала он запросит root-пароль. Поскольку в новой установке такого пароля пока нет, просто нажмите Enter. После этого сценарий предложит вам создать такой пароль. Введите сложный пароль и подтвердите его.

После этого сценарий задаст вам ряд вопросов. Чтобы принять данные по умолчанию, можете просто нажать Y и Enter. Сценарий заблокирует анонимных пользователей и удалённый root логин, удалит тестовые таблицы и перезагрузит привилегии.

3: Тестирование MariaDB

Теперь нужно убедиться, что установка MariaDB прошла успешно.

Попробуйте подключиться к БД с помощью инструмента mysqladmin (это клиент для запуска команд администрирования). Чтобы подключиться к MariaDB как root (-u root), ввести пароль (-p) и запросить версию программы, введите команду:

mysqladmin -u root -p version

Команда выведет:

mysqladmin Ver 9.0 Distrib 5.5.50-MariaDB, for Linux on x86_64
Copyright (c) 2000, 2016, Oracle, MariaDB Corporation Ab and others.
Server version 5.5.50-MariaDB
Protocol version 10
Connection Localhost via UNIX socket
UNIX socket /var/lib/mysql/mysql.sock
Uptime: 4 min 4 sec
Threads: 1 Questions: 42 Slow queries: 0 Opens: 1 Flush tables: 2 Open tables: 27 Queries per second avg: 0.172

Это значит, что установка СУБД MariaDB прошла успешно.

Заключение

Теперь вы умеете выполнять базовую установку и настройку MariaDB.