聊聊MySQL连接控制插件

数据库 MySQL
当连接数据库失败次数过多时,MySQL 是否会限制登录呢?数据库服务端应该怎么应对暴力破解呢?本篇文章介绍下 MySQL 中的连接控制插件,一起来学习下此插件的作用。

[[423064]]

前言:

当连接数据库失败次数过多时,MySQL 是否会限制登录呢?数据库服务端应该怎么应对暴力破解呢?本篇文章介绍下 MySQL 中的连接控制插件,一起来学习下此插件的作用。

1.连接控制(connection_control)插件介绍

MySQL 服务端包含一个插件库,可以自定义安装各类插件。connection_control 插件也是其中一种,主要用来控制客户端在登录操作连续失败一定次数后的响应的延迟。该插件可有效的防止客户端暴力登录的风险。该插件包含以下两个组件:

  • CONNECTION_CONTROL:用来控制登录失败的次数及延迟响应时间。
  • CONNECTION_CONTROL_FAILED_LOGIN_ATTEMPTS:将登录失败的操作记录至 information_schema系统库中。

连接控制插件文件的基本名称为 connection_control 。每个平台的文件名后缀有所不同(对于 Unix 和类 Unix 系统为 .so ,对于 Windows 为 .dll )。下面以 Linux 系统为例来安装下 connection_control 插件,Windows 系统只需要将 .so 改成 .dll 即可。

  1. # 动态安装 connection_control 插件 
  2. mysql> INSTALL PLUGIN CONNECTION_CONTROL SONAME 'connection_control.so'
  3. Query OK, 0 rows affected (0.04 sec) 
  4.  
  5. mysql> INSTALL PLUGIN CONNECTION_CONTROL_FAILED_LOGIN_ATTEMPTS SONAME 'connection_control.so'
  6. Query OK, 0 rows affected (0.01 sec) 
  7.  
  8. # 验证插件状态 
  9. mysql> SELECT 
  10.     -> PLUGIN_NAME,PLUGIN_STATUS  
  11.     -> FROM 
  12.     -> INFORMATION_SCHEMA.PLUGINS  
  13.     -> WHERE 
  14.     -> PLUGIN_NAME LIKE 'connection%'
  15. +------------------------------------------+---------------+ 
  16. | PLUGIN_NAME                              | PLUGIN_STATUS | 
  17. +------------------------------------------+---------------+ 
  18. | CONNECTION_CONTROL                       | ACTIVE        | 
  19. | CONNECTION_CONTROL_FAILED_LOGIN_ATTEMPTS | ACTIVE        | 
  20. +------------------------------------------+---------------+ 
  21.  
  22. # 安装完成后 可以看到相关系统变量 
  23. mysql> show variables like 'connection_control%'
  24. +-------------------------------------------------+------------+ 
  25. | Variable_name                                   | Value      | 
  26. +-------------------------------------------------+------------+ 
  27. | connection_control_failed_connections_threshold | 3          | 
  28. | connection_control_max_connection_delay         | 2147483647 | 
  29. | connection_control_min_connection_delay         | 1000       | 
  30. +-------------------------------------------------+------------+ 

可以看出,插件安装还是很简单的,不过这个插件具体有什么作用呢?我们先来解释下相关系统变量:

  • connection_control_failed_connections_threshold:允许帐户进行的连续失败尝试的次数。默认为 3 ,表示当连接失败 3 次后启用连接控制,0 表示不开启。
  • connection_control_max_connection_delay:超出阈值的连接失败的最大延迟(以毫秒为单位),默认 2147483647 毫秒,约 25 天。
  • connection_control_min_connection_delay:超过阈值的连接失败的最小延迟(以毫秒为单位),默认 1000 毫秒,即 1 秒。

至此,你可能明白了 connection_control 插件的作用,那就是当客户端连接数据库连续失败到达一定次数后,服务端会进行一段时间的响应延迟,连续失败尝试的次数越多,响应延迟时间越长。

2.连接控制实验

我们来具体做下实验,为了实验效果,这里将失败次数阈值设为 10 ,延迟最小时间设为 1 分钟,即当连续连接失败十次后,延迟响应时间最低为 1 分钟,下面我们故意输错密码来试试看:

  1. # 初始状态 
  2. mysql> show variables like 'connection_control%'
  3. +-------------------------------------------------+------------+ 
  4. | Variable_name                                   | Value      | 
  5. +-------------------------------------------------+------------+ 
  6. | connection_control_failed_connections_threshold | 10         | 
  7. | connection_control_max_connection_delay         | 2147483647 | 
  8. | connection_control_min_connection_delay         | 60000      | 
  9. +-------------------------------------------------+------------+ 
  10. rows in set (0.01 sec) 
  11.  
  12. mysql> SELECT * FROM information_schema.CONNECTION_CONTROL_FAILED_LOGIN_ATTEMPTS; 
  13. Empty set (0.00 sec) 
  14.  
  15. # 故意输错密码 
  16. [root@localhost ~]# mysql -utestuser -p123 
  17. mysql: [Warning] Using a password on the command line interface can be insecure. 
  18. ERROR 1045 (28000): Access denied for user 'testuser'@'localhost' (using password: YES) 
  19.  
  20. # 查看失败记录 
  21. mysql> SELECT * FROM information_schema.CONNECTION_CONTROL_FAILED_LOGIN_ATTEMPTS; 
  22. +----------------+-----------------+ 
  23. | USERHOST       | FAILED_ATTEMPTS | 
  24. +----------------+-----------------+ 
  25. 'testuser'@'%' |               1 | 
  26. +----------------+-----------------+ 
  27. 1 row in set (0.00 sec) 
  28.  
  29. # 当连续失败次数超过阈值后 再次进行连接会产生延迟 即延迟一定时间后才会返回密码是否正确 
  30. mysql> SELECT * FROM information_schema.CONNECTION_CONTROL_FAILED_LOGIN_ATTEMPTS; 
  31. +----------------+-----------------+ 
  32. | USERHOST       | FAILED_ATTEMPTS | 
  33. +----------------+-----------------+ 
  34. 'testuser'@'%' |              10 | 
  35. +----------------+-----------------+ 
  36. mysql> show processlist; 
  37. +---------+----------+--------------------+--------------------+---------+-------+--------------------------------------+------------------+ 
  38. | Id      | User     | Host               | db                 | Command | Time  | State                                | Info             | 
  39. +---------+----------+--------------------+--------------------+---------+-------+--------------------------------------+------------------+ 
  40. | 1817003 | root     | localhost          | NULL               | Query   |     0 | starting                             | show processlist | 
  41. | 1817091 | testuser | localhost          | NULL               | Connect |    16 | Waiting in connection_control plugin | NULL             | 
  42. +---------+----------+--------------------+--------------------+---------+-------+--------------------------------------+------------------+ 

正常情况下,输错密码是即刻返回错误的,当连续失败次数达到阈值后,再次进行连接尝试,则会延迟响应,具体表现就是一直卡着,到延迟结束后才返回错误。information_schema 系统库中的表会记录登录失败的用户名及失败次数,当延迟发生时,从 processlist 中也可以查到正在延迟的连接。若输入密码正确,则会取消延迟、重新计数。

于是乎,你应该理解了为什么此插件能防止客户端暴力破解,假设暴力破解每分钟尝试 120 次,现在启用该插件后,连续失败一定次数后就会响应延迟,并且随着失败次数的增加延迟时间也会增加,原来能立即开始下次破解,现在只能到延迟时间后才能发起下次尝试,所以能极大降低被暴力破解的风险。

不过启用连接控制插件后要注意是否存在延迟的连接,因为正在延迟的连接也是占用连接数的,可能会引起连接积压导致连接数不够用。所以当出现延迟的连接时,应尽快排查到底是那里在连接,确保密码输入正确。

 

若要启用此插件,注意要配置合适的阈值及延迟时间,并记得将这些参数写入配置文件。一般等保评测可能会有这项要求,这个时候连接控制插件会用得上。

 

责任编辑:武晓燕 来源: MySQL技术
相关推荐

2023-10-08 12:14:42

Sentinel流量控制

2023-09-21 08:05:49

Mybatis插件开发

2022-09-28 11:09:38

自动化产品工业协议

2024-08-26 13:23:26

2022-03-17 00:07:00

工业控制系统

2021-06-28 11:29:50

生成水印插件

2021-01-13 11:11:29

TCP连接耗时网络协议

2023-11-09 11:56:28

MySQL死锁

2021-11-17 08:11:35

MySQL

2023-06-12 09:09:19

MySQLDDLNSTANT

2019-01-07 12:02:02

TCP长连接Java

2022-11-26 08:16:26

2022-04-02 10:23:12

MySQL数据库

2024-07-16 10:25:27

2021-02-26 07:35:57

Git版本工具

2022-07-27 08:31:28

SQL开发控制

2024-01-15 08:41:25

SwiftTypeScrip语法

2020-05-06 22:07:53

UbuntuLinux操作系统

2017-08-21 10:56:55

MySQL并发控制

2022-08-09 09:34:32

Spring开发
点赞
收藏

51CTO技术栈公众号