從 MySQL5.7.11開始,MySQL對InnoDB支援儲存在單獨表空間中的表的資料加密 。此功能為物理表空間資料檔案提供靜態加密。該加密是在引擎內部資料頁級別的加密手段,在資料頁寫入檔案系統時加密,加密用的是AES演算法,而其解密是在從檔案讀到記憶體中時進行。
1 配置加密外掛
1.1 修改配置檔案
在mysql配置檔案【mysqld】x項中新增如下內容
plugin_dir=/usr/local/mysql5.7/lib/mysql/plugin # 外掛路徑,根據實際情況修改
early-plugin-load="keyring_file.so" # 加密外掛
keyring_file_data=/data/mysql3306/keyring/keyring # 路徑不存在,需要建立
innodb_file_per_table=1 # 只作用於獨立表空間
1.2 建立加密所需的路徑並配置許可權
建立時要注意 ,keyring_file_data 裡配置的keyring會在啟動時自動建立,本步驟中建立到對應目錄即可
mkdir -p /data/mysql3306/keyring/ chown -R mysql:mysql /data/mysql3306/keyring/ chmod 750 /data/mysql3306/keyring
1.3 重啟MySQL
重啟mysql即可,啟動後會發現注意/data/mysql3306/keyring 目錄下生成了 keyring檔案
注意,重啟後也要看一下mysql錯誤日誌裡有沒有相關錯誤資訊,如果沒有錯誤則繼續進行
1.4 檢視外掛狀態
啟動後可以檢視外掛是否生效
mysql> SELECT PLUGIN_NAME, PLUGIN_STATUS, PLUGIN_Type,PLUGIN_Library FROM INFORMATION_SCHEMA.PLUGINS WHERE PLUGIN_NAME LIKE 'keyring_file'; +--------------+---------------+-------------+-----------------+ | PLUGIN_NAME | PLUGIN_STATUS | PLUGIN_Type | PLUGIN_Library | +--------------+---------------+-------------+-----------------+ | keyring_file | ACTIVE | KEYRING | keyring_file.so | +--------------+---------------+-------------+-----------------+ 1 row in set (0.01 sec)
或者用 show plugins命令檢視
2 測試加密表空間
2.1 建立加密的新表
建立一張新表,並新增ENCRYPTION='Y' ,加密表空間
mysql> create table test1( id int primary key auto_increment, name varchar(20), key name(name)) ENCRYPTION='Y'; Query OK, 0 rows affected (0.02 sec)
此時,keyring檔案也會有變化
2.2 新增資料
向新增的測試表裡新增測試資料,並檢視
mysql> insert into test1(id,name) values(1,'anm'),(2,'keyring'); Query OK, 2 rows affected (0.01 sec) Records: 2 Duplicates: 0 Warnings: 0 mysql> select * from test1; +----+---------+ | id | name | +----+---------+ | 1 | anm | | 2 | keyring | +----+---------+ 2 rows in set (0.00 sec)
2.3 修改是否加密
測試取消表空間加密
mysql> show create table test1; +-------+-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+ | Table | Create Table | +-------+-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+ | test1 | CREATE TABLE `test1` ( `id` int(11) NOT NULL AUTO_INCREMENT, `name` varchar(20) DEFAULT NULL, PRIMARY KEY (`id`), KEY `name` (`name`) ) ENGINE=InnoDB AUTO_INCREMENT=3 DEFAULT CHARSET=utf8mb4 ENCRYPTION='Y' | +-------+-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+ 1 row in set (0.00 sec) mysql> alter table test1 ENCRYPTION='N'; Query OK, 2 rows affected (0.04 sec) Records: 2 Duplicates: 0 Warnings: 0 mysql> show create table test1; +-------+-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+ | Table | Create Table | +-------+-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+ | test1 | CREATE TABLE `test1` ( `id` int(11) NOT NULL AUTO_INCREMENT, `name` varchar(20) DEFAULT NULL, PRIMARY KEY (`id`), KEY `name` (`name`) ) ENGINE=InnoDB AUTO_INCREMENT=3 DEFAULT CHARSET=utf8mb4 ENCRYPTION='N' | +-------+-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+ 1 row in set (0.00 sec) mysql> select * from test1; +----+---------+ | id | name | +----+---------+ | 1 | anm | | 2 | keyring | +----+---------+ 2 rows in set (0.00 sec)
再配置為加密
mysql> alter table test1 ENCRYPTION='Y'; Query OK, 2 rows affected (0.03 sec) Records: 2 Duplicates: 0 Warnings: 0 mysql> select * from test1; +----+---------+ | id | name | +----+---------+ | 1 | anm | | 2 | keyring | +----+---------+ 2 rows in set (0.00 sec)
所以,表空間加密方式是可以線上調整的,且對資料查詢不影響。
另外,keyring_file_data也是可以動態調整的,比較簡單,就不演示了
2.4 統計表空間加密的表
想要知道哪些表的表空間加密了,可以通過資料字典表裡檢視
mysql> SELECT TABLE_SCHEMA, TABLE_NAME, CREATE_OPTIONS FROM INFORMATION_SCHEMA.TABLES WHERE table_schema='testdb2' and CREATE_OPTIONS='ENCRYPTION="Y"'; +--------------+------------+----------------+ | TABLE_SCHEMA | TABLE_NAME | CREATE_OPTIONS | +--------------+------------+----------------+ | testdb2 | test1 | ENCRYPTION="Y" | +--------------+------------+----------------+ 1 row in set (0.00 sec)
3. 異常處理
如果keyring檔案損壞或被誤刪除了,會出現什麼情況
3.1 備份keyring檔案
為了保險起見,先備份一下keyring檔案
[root@mha1 keyring]# cp -p keyring keyring.bak [root@mha1 keyring]# ll -h total 8.0K -rw-r----- 1 mysql mysql 155 Aug 16 09:10 keyring -rw-r----- 1 mysql mysql 155 Aug 16 09:10 keyring.bak
3.2 刪除keyring
直接刪除keyring檔案
[root@mha1 keyring]# rm -f keyring [root@mha1 keyring]# ll -h total 4.0K -rw-r----- 1 mysql mysql 155 Aug 16 09:10 keyring.bak
3.3 檢視資料是否正常
檢視資料及新建加密表是否成功
mysql> select * from test1; +----+---------+ | id | name | +----+---------+ | 1 | anm | | 2 | keyring | +----+---------+ 2 rows in set (0.00 sec) mysql> create table test2(id int primary key auto_increment, name varchar(20),key name(name)) ENCRYPTION='Y'; Query OK, 0 rows affected (0.01 sec)
也就是說此時,即使keyrig檔案丟失也是可以正常操作的
3.4 重啟資料庫
重啟資料庫後,會發現,又自動生成了keyring檔案
此時再檢視加密表
mysql> select * from test1; ERROR 3185 (HY000): Can't find master key from keyring, please check in the server log if a keyring plugin is loaded and initialized successfully.
建立加密表
mysql> create table test3(id int primary key auto_increment, name varchar(20),key name(name)) ENCRYPTION='Y'; Query OK, 0 rows affected (0.02 sec)
新建表是可以的,因為此時相當於初始化的時候。
那麼再將原keyring還原,然後再重啟資料庫,會發現又能成功了
mysql> select * from test1; +----+---------+ | id | name | +----+---------+ | 1 | anm | | 2 | keyring | +----+---------+ 2 rows in set (0.00 sec)
4 keyring管理
4.1 定期備份
可以每日進行備份,但是備份的路徑和日常備份分開,需要還原的時候再拷貝至目標檔案
4.2 定期更新
為了考慮安全性,當懷疑key洩露時,需要進行更新。更新後原先的表依舊可以正常方案,因為更新置灰改變master encryption key 並重新加密 tablespace keys,不會對錶空間重新加密或解密。更新的方法:
-- 更新 master key mysql> ALTER INSTANCE ROTATE INNODB MASTER KEY; Query OK, 0 rows affected (0.00 sec) -- 更新後依舊能正常訪問 mysql> select * from test1; +----+---------+ | id | name | +----+---------+ | 1 | anm | | 2 | keyring | +----+---------+ 2 rows in set (0.00 sec)
至此,InnoDB表空間的簡單使用就演示完畢。其中還有很多細節,可以檢視官方文件進行探索,https://dev.mysql.com/doc/refman/5.7/en/innodb-data-encryption.html。
想了解更多內容或參與技術交流可以關注微信公眾號【資料庫乾貨鋪】或進技術交流群溝通。
