你们的 mysql 数据库配置 ssl 加密了吗

mysql 数据本地和远程进行交互的时候，是使用明文传输的

dzdh

247 天前

默认不启用。连接远程服务器时，我是开启的。

renfei

247 天前

MySQL 在内网，不对外暴露端口
如果要远程访问，先建立 SSH 隧道进内网，然后还是内网访问，SSH 已经加密通讯了

lepig

247 天前

宝塔直接梭，没关注过

倒是连接认证的的时候使用的是`caching_sha2_password `

bler

247 天前

才发现，mysql 的默认机制，已经帮用户避免了很多安全问题，默认是远程无法访问的，要么你手动配置，要么使用 ssh 进行连接

bler

247 天前

@renfei 大佬，使用 ssh 隧道是不是不建议用 root 用户，需要创建一个专门用于数据库操作的用户

yinmin

247 天前

如果测试环境可以用 ssh ；如果是生产环境不建议用 ssh ，如果需要远程加密隧道，推荐启用 mysql 双向证书认证的 ssl 连接

RangerWolf

247 天前

ssl 是有代价的~ 加解密需要消耗 cpu 资源，生产环境下可能得不偿失

最好是全部走内网，外网走测试的 mysql ，小规模使用的话，ssh 隧道到生产的 mysql

yinmin

247 天前

生产环境公网远程直接访问 mysql ，通常建议服务器延时在 10ms 以内，通信能稳定跑到百兆；至少延时在 20ms/十兆带宽。如果达不到这个指标，做一个 https api 接口为佳。

yinmin

247 天前

@RangerWolf #8 目前 cpu 都内置 aes 硬件加密，ssl 消耗的资源极低可以忽略不计的。

salmon5

247 天前

dba 一般不管这个吧？加密不加密不是 dba 的事情？

zed1018

247 天前

@bler #6 建立隧道可以建立一个 nologin 或者 /bin/false 的账户，不能获得 tty ，但是可以做隧道

RangerWolf

247 天前

@yinmin 学习了

不过我估计也要看是谁提供的服务了，普通一个 docker run 跑起来的 mysql ，我认为没有你说的硬件。

不知道如何查看是否有加解密的硬件？

Felldeadbird

247 天前

还没用到外网需求，都是单机跑。用不着

adoal

247 天前

@RangerWolf docker 用的是 host 的 CPU ，所以 CPU 支持 AES-NI 指令集就可以了。cat /proc/cpuinfo 看看 flags 那一行有没有“aes”。现在用的 CPU 应该都有。

villivateur

247 天前

数据库不应该单独暴露，应该全走内网

moefishtang

247 天前

用的 RDS ，自带 SSL 加密
不过一直用的 VPC 内网传输，开不开影响都不大吧？

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/1102175

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.