MySQL Eneterprise Firewall安裝、使用

  • 安裝
注意事項

  1. 一旦安裝了就會對資料庫效能產生最小呈度的影響,就算是安裝了沒啟用也是一樣
  2. 它無法與Query Cache同時使用,如果有用Query Cache請記得在安裝Firewall前先關閉Query Cache
# ./bin/mysql -uroot -proot -h127.0.0.1 -P3322 mysql< share/linux_install_firewall.sql


安裝時同時會在資料庫裡面安裝幾個元件
INFORMATION_SCHEMA.MYSQL_FIREWALL_WHITELIST
INFORMATION_SCHEMA.MYSQL_FIREWALL_USERS
mysql.firewall_users
mysql.firewall_whitelist
sp_set_firewall_mode() ->store procedure

檢查是否有啟用
mysql>SHOW GLOBAL VARIABLES LIKE 'mysql_firewall_mode';


  • 使用Firewall
剛開始啟用時,要先把使用者註冊到INFORMATION_SCHEMA.MYSQL_FIREWALL_USERS裡面,然後再啟用RECORDING模式來記錄平常這個使用者會有哪些操作,這個操作指令會被記錄在INFORMATION_SCHEMA.MYSQL_FIREWALL_WHITELIST,記錄之後就可以把它開成PROTECTING模式,它會將記錄之外的操作給排除掉,並且資料庫裡面會記錄被DENIED的有多少、被授權的有多少…等資訊。
參考網站:http://dev.mysql.com/doc/refman/5.6/en/firewall-usage.html
  1. 建立使用者(若已有使用者就不需要)

  2. 透過sp_set_firewall_mode()的預存程式來進行註冊
    mysql> CALL mysql.sp_set_firewall_mode('fwuser@localhost', 'RECORDING');

  3. 切換剛剛註冊的使用者進行記錄操作
    ./bin/mysql -ufwuser -pwang --socket=data/mysql.sock
    mysql> use wang;
    mysql> show tables;
    mysql> select * from abc;
    mysql> insert into abc values(0,'Jam','1992-09-22');
    mysql> select * from abc_test;
    mysql> show create table abc_test;
    mysql> insert into abc_test values(0);
  4. 記錄完成後,切換到root檢查剛剛的whitelist是否有被記錄到
    先確認使用者的模式
    mysql>  SELECT MODE FROM INFORMATION_SCHEMA.MYSQL_FIREWALL_USERS WHERE USERHOST = 'fwuser@localhost';


    檢查Whitelist,確認所有操作都有被記錄到就可以切換成保護模式了
    mysql>  SELECT RULE FROM INFORMATION_SCHEMA.MYSQL_FIREWALL_WHITELIST WHERE USERHOST = 'fwuser@localhost';

  5. 切換成PROTECTING模式
    mysql>  CALL mysql.sp_set_firewall_mode('fwuser@localhost', 'PROTECTING');


    確認狀態
    mysql>   SELECT MODE FROM INFORMATION_SCHEMA.MYSQL_FIREWALL_USERS WHERE USERHOST = 'fwuser@localhost';

  6. 切換到受保護的使用者進行測試
    正常的操作下:


    操作行為沒有被記錄在whitelist時:


    同時在error log中也會被記錄:

  7. 查看Firewall的活動狀況
    mysql> SHOW GLOBAL STATUS LIKE 'Firewall%';


    Firewall_access_denied 表示有多少被拒絕的操作次數
    Firewall_access_granted表示有多少合法的操作次數
    Firewall_cached_entries表示whitelist 有多少筆記錄

留言

張貼留言

這個網誌中的熱門文章

MySQL監控軟體MEM及PMM介紹

圖片
MySQL監控軟體: PMP(Percona Monitoring Plugin) :Percona之前的監控是以Plugin或Template的方式加載到其他的監控軟體上,他有支援Zabbix、Nagios和Cacti等3個常用的監控軟體,詳細的介紹可以參考官網: Percona Monitoring Plugins MEM(MySQL Enterprise Monitor) :官方提供的監控軟體,需購企業版才能使用此功能,可以監控DB內的狀況和InnoDB、NDB、Replication等的內容,另外還可以監控作業系統上的部份內容,例如硬碟、CPU、RAM、網路…等使用狀況,除了監控之外,還有Query Analyzer及發送告警功能,詳細的介紹參考官網: MySQL Enterprise Monitor PMM(Percona Monitoring and Management) :它是一個用於管理及監控MySQL及MongoDB效能的開源平台,它提供了對MyISAM、InnoDB、TokuDB和PXC/Glarera的監控,另外也提供了與MEM類似的Query Analytics的功能,可以檢視執行了哪些SQL指令,並對執行效能較差的語法進行優化;針對作業系統的部份也提供了硬碟、網路、CPU和RAM的監控,特別的是它提供了Context switches、Processes和interrupts的監控,Context Switches可以看到CPU上下切換文的狀況,Processes可以方便了解系統有多少程序在等待I/O,這3個是MEM沒有提供的。詳細內容參考官方: Percona Monitoring and Management 架構說明: MEM架構 MEM是由Java+Apache Tomcat+MySQL組成的監控軟體 主要安裝Service Manager(也可稱Monitor Server)它有內建一個Agent可以讓你遠端監控 或者是另外在MySQL Server上安裝Agent軟體,其差別在於能否搜集作業系統上的資訊,裝了Agent才能在作業系統上搜集資訊 而DB端的資訊會透過本機或Service Manager的Agent,連到DB裡的Performance Schema中搜集資訊,再儲存到Servi...
閱讀完整內容

MySQL欄位加密工具:MyDiamo

圖片
這是一套主要針對MySQL Fork(MySQL, Percona Server, MariaDB)的欄位進行加密管理的第三方工具 它可以對欄位設定不同的加密方式,且加密、解密的權限可獨立分開設定 另外,它還支援連線管控及稽核的功能 詳細的功能就上 官網 查詢 MyDiamo運作原理 它是屬於MySQL管理層和Storage Engine層之間的一個Plugin,透過自行設定的原則來對InnoDB或MyISAM表的欄位進行加密。(如圖一) 軟體安裝好後,它有自已的管理介面,要在這個介面中先設定好【原則】,接著在此原則之下設定有哪些【欄位】要使用這個原則,再來就是設定有哪些【使用者】被授予這些欄位的權限為何,最後再執行plugin所屬的migration funcation對資料表欄位進行加密。 圖一 在安裝前要先註冊帳號,它才會把軟體下載的連結寄給你… MyDiamo安裝 在下載軟體的時候要注意,它不是全部的版本都支援的,它只支援部份小版本,例如:MySQL 5.7.12不支援…等,所以要先確認目前資料庫的版本再來下載,更多的版本內容請看官網啦: Support Platform 如果你的MySQL是用RPM方式安裝的話,遇到的問題相對會少一些 我的測試環境是以tar安裝,很多路徑是要另外做設定的(我懶沒設啦…)所以會多一些步驟 ◆安裝 [root@mysql-course D`Amo_MyDiamo_v3.0.9.4]# ./install-linux-mydiamo-3.0.9.4.run -p /opt/mysql -h 127.0.0.1 -P 3307 ===================================================== MyDiamo Install Script ===================================================== Input MySQL/MariaDB root Password : ===================================================== NDB Cluster : No DBMS : MySQL VERSION : 5.7...
閱讀完整內容

MySQL Router 設定檔說明

設定檔範例:       [DEFAULT] logging_folder  = /opt/mysql-router/log plugin_folder   = /opt/mysql-router/lib/mysqlrouter runtime_folder  = /opt/mysql-router/run config_folder   = /opt/mysql-router [logger] level = INFO ## these section are only for standalone [routing:read_write] bind_address    = 192.168.56.107 bind_port       = 7001 destinations    = 192.168.56.102:3306,192.168.56.102:3307 mode            = read-write connect_timeout    = 5 max_connections   = 100 [routing:read_only] bind_address    = 192.168.56.107 bind_port       = 7002 destinations    = 192.168.56.102:3308,192.168.56.102:3309 mode            = read-only connect_timeout    = 1 max_connections   = 100 ## these section are used for Fabric [fabric_cache:my_fabric] address    = 192.168.56.101 user   ...
閱讀完整內容