MySQL テーブル全体の暗号化ソリューション keyring_file の詳細な説明

MySQL テーブル全体の暗号化ソリューション keyring_file の詳細な説明

例示する

MySql Community Edition は、5.7.11 以降、テーブルベースのデータ暗号化ソリューションをサポートしています。モジュールは keyring_file と呼ばれ、テーブル全体の暗号化をサポートします。この暗号化方法は、実際にはファイル暗号化に基づいています。mysqld がキーを読み取って起動すると、テーブル全体のデータを復号化します。mysql サービスでは、読み取られたデータが復号化されるため、クライアントはそれを認識しません。このキーはローカルに保存され、MySQL サービスにはこのキーの読み取りと書き込みの権限があります。

一般的に、このソリューションはデータベース ファイルが暗号化されているためあまり安全ではありませんが、MySQL サービスのアカウントがある限り、アクセス データは復号化され、暗号化は自動的に解除されます。さらに、復号化キーもローカルに保存されるため、侵入者はそれを持ち去ることができます。このソリューションでは、侵入者がデータベース ファイルをドラッグした後にその内容を読み取れないようにすることしかできません。

MySQL Enterprise Edition の 3 つの追加モジュール

MySQL のエンタープライズ バージョンの場合は、他に 3 つの暗号化方式があります。

1.キーリング暗号化ファイル

前に述べたコミュニティ バージョンと似ていますが、追加のキーがある点が異なります。このキーは、データベース キーの暗号化と復号化に使用されます。セキュリティ面では、どちらもほぼ同じです。

2.キーリング_okv

キーのローカルストレージと比較して、このモジュールは KMIP を使用してキーにアクセスするため、比較的安全です。

3.キーリング_aws

AWS キー管理サービスを統合して、暗号化キーと復号化キーを管理します。キー管理のセキュリティをさらに向上します。

4つの暗号化モジュールでサポートされる暗号化タイプ

モジュール名利用可能な暗号化アルゴリズムキーの長さの制限
キーリング暗号化ファイルエーエス
DSSA
RSAA の		制限なし 制限なし 制限なし
キーリングファイルエーエス
DSSA
RSAA の		制限なし 制限なし 制限なし
キーリング_okvエーエス16、24、32
キーリング_awsエーエス16、24、32

まとめると、これら 4 つのソリューションはすべてファイル暗号化およびメモリ復号化ソリューションであり、違いは暗号化および復号化キーの保存方式にあります。 keyring_okv と keyring_aws を使用して、MySQL アカウントのセキュリティを確保し、アカウント権限を厳密に区別することをお勧めします。

他の 2 つは安全性が低くなります。

実装手順

さて、ここで最も単純な keyring_file 展開ソリューションについて簡単に説明します。何らかの理由で暗号化キーが常に生成できるとは限らないため、Windows ではこのソリューションを使用できない可能性があることを事前に指摘しておきます。

1. MySQL 5.7.21の最新バージョンを使用する

yum aptなどのツールを使用して最新バージョンのmysqlをインストールするか、ソースコードをダウンロードして自分でコンパイルしてインストールします。

sudo apt で mysql-5.7 をインストールします

2. 暗号化モジュールを有効にする

プラグイン keyring_file soname 'keyring_file.so' をインストールします。

mysql> INSTALL PLUGIN keyring_file soname 'keyring_file.so';
クエリは正常、影響を受けた行は 0 行 (0.10 秒)

3. 暗号化キーの保存パスを設定する

グローバル keyring_file_data を '/root/mysql-keyring/keyring' に設定します。

mysql> グローバル keyring_file_data を '/var/lib/mysql-keyring/keyring' に設定します。
クエリは正常、影響を受けた行は 0 行 (0.00 秒)

4. 設定を永続的に有効にする

上記の 2 つの手順は一時的なものであり、サービスを再起動すると失敗します。サービスの再起動後に設定が有効になるように、設定を構成ファイルに書き込みます。

[mysqld]
早期プラグインロード=keyring_file.so
keyring_file_data=/root/mysql-keyring/keyring

5. キーの保存パスを確認する

'%keyring_file_data%' のようなグローバル変数を表示します。

mysql> '%keyring_file_data%' のようなグローバル変数を表示します。
+-------------------+--------------------------------+
| 変数名 | 値 |
+-------------------+--------------------------------+
| キーリングファイルデータ | /var/lib/mysql-keyring/keyring |
+-------------------+--------------------------------+
セット内の 1 行 (0.00 秒)

6. 有効なモジュールを表示する

keyring_file モジュールがロードされているかどうかを確認します。
プラグインを表示します。

mysql> プラグインを表示します。
+----------------------------+----------+--------------------+-----------------+---------+
| 名前 | ステータス | タイプ | ライブラリ | ライセンス |
+----------------------------+----------+--------------------+-----------------+---------+
| binlog | アクティブ | ストレージ エンジン | NULL | GPL |
| mysql_native_password | アクティブ | 認証 | NULL | GPL |
| sha256_password | アクティブ | 認証 | NULL | GPL |
| パフォーマンス スキーマ | アクティブ | ストレージ エンジン | NULL | GPL |
| CSV | アクティブ | ストレージ エンジン | NULL | GPL |
| MRG_MYISAM | アクティブ | ストレージ エンジン | NULL | GPL |
| MyISAM | アクティブ | ストレージ エンジン | NULL | GPL |
| InnoDB | アクティブ | ストレージ エンジン | NULL | GPL |
| INNODB_TRX | アクティブ | 情報スキーマ | NULL | GPL |
| INNODB_LOCKS | アクティブ | 情報スキーマ | NULL | GPL |
| INNODB_LOCK_WAITS | アクティブ | 情報スキーマ | NULL | GPL |
| INNODB_CMP | アクティブ | 情報スキーマ | NULL | GPL |
| INNODB_CMP_RESET | アクティブ | 情報スキーマ | NULL | GPL |

。 。 。 。 。 。 (N項目を省略)

| keyring_file | アクティブ | キーリング | keyring_file.so | GPL |
+----------------------------+----------+--------------------+-----------------+---------+
セット内の行数は 45 です (0.00 秒)

7. 既存のテーブルを暗号化する

テーブル暗号化を 'Y' に変更します。

mysql> テーブル cc (id int) を作成します。
クエリは正常、影響を受けた行は 0 行 (0.01 秒)

mysql> テーブル cc 暗号化を 'Y' に変更します。
クエリは正常、影響を受けた行は 0 行 (0.06 秒)
レコード: 0 重複: 0 警告: 0

8. 暗号化を解除する

テーブル暗号化を 'N' に変更します。

mysql> テーブル cc 暗号化を 'N' に変更します。
クエリは正常、影響を受けた行は 0 行 (0.01 秒)
レコード: 0 重複: 0 警告: 0

公式ドキュメント:

https://dev.mysql.com/doc/refman/5.7/en/keyring-installation.html

以上がこの記事の全内容です。皆様の勉強のお役に立てれば幸いです。また、123WORDPRESS.COM を応援していただければ幸いです。

以下もご興味があるかもしれません:
  • MySQL の暗号化と復号化の例
  • Java、JavaScript、Oracle、MySQL に実装された MD5 暗号化アルゴリズムの共有
  • mysql および mssql の MD5 暗号化ステートメント
  • PHP MySQL アプリケーションで XOR 暗号化アルゴリズムを使用する
  • MySQL 暗号化/圧縮関数
  • MySQL 双方向暗号化と復号化の使用方法の詳細な説明

<<:  Vue-Jest自動テストの基本構成の詳しい説明

>>:  dockerネットワーク双方向接続の詳細な説明

推薦する

HTML タグに類似: strong および em、q、cite、blockquote

XHTML には似た機能を持つタグがいくつかあります。もちろん、ここでの類似性とは意味の類似性を指...

njs モジュールを使用して nginx 構成に js スクリプトを導入する

目次序文1. NJSモジュールをインストールする方法1: NJSモジュールを動的にロードする方法2:...

UbuntuにMySQLデータベースをインストールする方法

Ubuntu は、Linux をベースにした無料のオープンソース デスクトップ PC オペレーティン...

JS配列メソッドの詳細な説明

目次1. 元の配列が変更されます1. プッシュ(): 2.ポップ(): 3. シフト(): 4.un...

MySQLの一般的なバックアップコマンドとシェルバックアップスクリプトの共有

複数のデータベースをバックアップするには、次のコマンドを使用できます。 mysqldump -uro...

LinuxにPython 3.6をインストールして落とし穴を避ける

Python 3のインストール1. 依存環境をインストールするPython3 はインストール プロセ...

Dockerはホスト間のネットワーク通信を実現するためにMacvlanを導入する

基本的な概念: Macvlanの動作原理: Macvlan は、Linux カーネルでサポートされて...

Centos 7 64 ビット デスクトップ バージョンのインストール グラフィック チュートリアル

システムが遅いと感じてソースを変更したい場合は、別の記事で整理しました https://blog.c...

2048 ゲームを実装するためのネイティブ js

2048ミニゲーム、参考までに具体的な内容は以下のとおりですまず、2048ゲームは16のグリッドか...

MySQL データのバックアップと復元のサンプル コード

1. データのバックアップ1. mysqldumpコマンドを使用してバックアップするmysqldum...

sqlalchemy に基づいて MySQL で追加、削除、変更、クエリ操作を実装する

需要シナリオ:上司は、クロ​​ーラーを使用してMySQLデータベースにデータを書き込んだり更新したり...

フレックスボックスレイアウトの最終行の左揃えの実装アイデア

フレックスレイアウトを使用すると、9つの正方形のグリッドであれば、図に示すように均等に分割できます。...

MySQL データをエクスポートする際の secure-file-priv 問題の解決方法

エラー 1290 (HY000) : MySQL サーバーは –secure-file-priv オ...

MySQL 演算子の具体的な使用法 (and、or、in、not)

目次1. はじめに2. 本文2.1 および演算子2.2 または演算子2.3 オペレーター2.4 no...

Navicat 経由で MySQL にリモート接続する方法

Navicat を使用して IP 経由で直接接続すると、次のようなさまざまなエラーが報告されます: ...