MySQL连接控制是一个安全插件,当客户端出现指定次数的连接失败时(密码错误),之后的每次连接请求的响应都会逐渐增加延迟,此插件可以帮助数据库抵御类似DDOS攻击或暴力破解密码。

目录

一、安装连接控制插件

连接控制插件connection_control.so默认安装在插件目录,你可以通过select @@plugin_dir查找该目录在文件系统上的路径:

select @@plugin_dir;

在这里插入图片描述

需要安装的插件分为2个部分:

  • connection_cotrol,负责检查连接连接次数,并在检测到超过指定失败次数时增加下一次响应延时。
  • connection_control_failed_login_attempts,在information_schema下新增connection_control_failed_login_attempts表记录详细的连接失败的用户及尝试次数信息。

执行下列命令安装连接控制插件:

install plugin connection_control soname 'connection_control.so';
install plugin connection_control_failed_login_attempts soname 'connection_control.so';

在这里插入图片描述

通过show plugins检查插件是否安装成功,status为ACTIVE说明成功:

show plugins;

在这里插入图片描述

为了重启后可以自动加载插件,建议将下面配置放到my.cnf的[mysqld]模块中:

[mysqld]
plugin-load-add=connection_control.so

在这里插入图片描述

二、连接控制参数配置

插件安装完成后,我们可以通过如下参数进行连接控制:

  • connection_control_failed_connections_threshold,控制增加相应延迟前的最大失败次数。
  • connection_control_min_connection_delay,最小增加响应延迟,单位是毫秒。
  • connection_control_max_connection_delay,最大增加响应延迟,单位是毫秒。

下面SQL设置增加延迟前最多可以失败3次,最小增加延迟为1000毫秒(随着失败次数变多,延迟会逐渐变大):

set global connection_control_failed_connections_threshold=3;
set global connection_control_min_connection_delay=1000;

在这里插入图片描述

这里同样建议将配置写到my.cnf文件中:

[mysqld]
plugin-load-add=connection_control.so
connection_control_failed_connections_threshold=3
connection_control_min_connection_delay=1000

在这里插入图片描述

三、效果测试

完成上面的配置后,我们尝试用错误的密码去不停连接数据库,这里循环10次。通过测试发现第4次开始,数据库响应的时间开始出现延迟,并且随着尝试次数变多,延迟越来越大:

for i in `seq 1 10`
do
  time mysql -uroot -p123 2>&1 >/dev/null | grep real
done

在这里插入图片描述

状态变量connection_control_delay_generated记录数据库为失败尝试增加相应延迟的次数,上面的示例中,从第4次开始,所有连接尝试都加了延迟,因此变量值是7:

show global status like 'connection_control_delay_generated';

在这里插入图片描述

从information_schema.connection_control_failed_login_attempts可以查询到连接失败的用户及次数信息,这里显示root用户有10次尝试登陆失败了:

select * from information_schema.connection_control_failed_login_attempts;

在这里插入图片描述

如果要重置失败尝试次数,只需要再次给变量connection_control_failed_connections_threashold赋值即可,状态变量connection_control_delay_generated值也会归零:

set global connection_control_failed_connections_threshold=3;
show global status like 'connection_control_delay_generated';

在这里插入图片描述

以上就是连接控制插件的配置及使用,其可以有效防止数据库密码被暴力破解或者高频连接请求导致数据库资源被大量消耗(类DDOS攻击)。

# mysql # 数据库 # 网络 # web安全 # 运维
Logo
开放原子开发者工作坊

开放原子开发者工作坊旨在鼓励更多人参与开源活动,与志同道合的开发者们相互交流开发经验、分享开发心得、获取前沿技术趋势。工作坊有多种形式的开发者活动,如meetup、训练营等,主打技术交流,干货满满,真诚地邀请各位开发者共同参与!

更多推荐

第二届开放原子大赛首批创新成果集结武汉,诚邀广大开发者共鉴开源技术盛宴

第二届开放原子大赛首批创新成果集结武汉,诚邀广大开发者共鉴开源技术盛宴

avatar 开放原子开发者工作坊

诚邀报名 | 开源基础设施能力建设分论坛:打造开源生态的“心脏”

诚邀报名 | 开源基础设施能力建设分论坛:打造开源生态的“心脏”

avatar 开放原子开发者工作坊

诚邀报名 | 编程语言分论坛:AI时代的技术革新与开源实践

诚邀报名 | 编程语言分论坛:AI时代的技术革新与开源实践

avatar 开放原子开发者工作坊