故障分析 | 正确使用 auth_socket 验证插件

最新推荐文章于 2025-03-20 15:39:04 发布
原创 最新推荐文章于 2025-03-20 15:39:04 发布 · 1.4k 阅读 · 8 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#密码安全 #auth_socket插件

本文介绍了一种MySQL中auth_socket插件导致的安全问题,任何密码都能登录MySQL的情况及解决办法。通过调整插件类型为mysql_native_password,解决了安全漏洞,并详细介绍了auth_socket插件的特点和适用场景。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

作者:姚远
专注于 Oracle、MySQL 数据库多年,Oracle 10G 和 12C OCM,MySQL 5.6,5.7,8.0 OCP。现在鼎甲科技任技术顾问,为同事和客户提供数据库培训和技术支持服务。
本文来源:原创投稿
*爱可生开源社区出品,原创内容未经授权不得随意使用,转载请联系小编并注明来源。

现象

一线的工程师反映了一个奇怪的现象,刚刚从 MySQL 官网上下载了一个 MySQL 5.7.31。安装完成后,发现使用任何密码都能登陆 MySQL,修改密码也不管用,重新启动 MySQL 也不能解决。

分析

怀疑使用了 --skip-grant-tables 使用 mysqld --print-defaults 检查,没有发现。
检查登陆用户,都是 root@localhost,说明和 proxy user 没有关系。

mysql> select user(),current_user();
+----------------+----------------+
| user()         | current_user() |
+----------------+----------------+
| root@localhost | root@localhost |
+----------------+----------------+
1 row in set (0.01 sec)

使用 mysql --print-defaults 检查客户端是否设置默认的用户和密码,没有发现。
检查数据库中的用户和密码的相关字段:

mysql> select user,host,authentication_string from mysql.user;
+------------------+-----------+------------------------------------------------------------------------+
| user             | host      | authentication_string                                                  |
+------------------+-----------+------------------------------------------------------------------------+
| lisi             | %         | *52BCD17AD903BEC378139B11966C9B91AC4DED7C |
| mysql.session    | localhost | *THISISNOTAVALIDPASSWORDTHATCANBEUSEDHERE |
| mysql.sys        | localhost | *THISISNOTAVALIDPASSWORDTHATCANBEUSEDHERE |
| root             | localhost | *1840214DE27E4E262F5D981E13317691BA886B76 |
+------------------+-----------+------------------------------------------------------------------------+
5 rows in set (0.01 sec)

发现一切都正常,再检查 plugin 字段,发现只有 root 用户是 auth_socket ,其它的用户都是 mysql_native_password,问题可能就出在这儿。

mysql> select user,host,plugin  from mysql.user;
+------------------+-----------+-----------------------+
| user             | host      | plugin                |
+------------------+-----------+-----------------------+
| lisi             | %         | mysql_native_password |
| mysql.session    | localhost | mysql_native_password |
| mysql.sys        | localhost | mysql_native_password |
| root             | localhost | auth_socket           |
+------------------+-----------+-----------------------+
5 rows in set (0.02 sec)

问题解决

对 auth_socket 验证插件不了解,感觉是这个插件不安全,使用下面的命令修改后,问题解决:

update user set plugin="mysql_native_password" where user='root';

auth_socket 验证插件的使用场景

问题解决后,又仔细研究了一下 auth_socket 这个插件,发现这种验证方式有以下特点:

  • 首先,这种验证方式不要求输入密码,即使输入了密码也不验证。这个特点让很多人觉得很不安全,实际仔细研究一下这种方式,发现还是相当安全的,因为它有另外两个限制;

  • 只能用 UNIX 的 socket 方式登陆,这就保证了只能本地登陆,用户在使用这种登陆方式时已经通过了操作系统的安全验证;

  • 操作系统的用户和 MySQL 数据库的用户名必须一致,例如你要登陆 MySQL 的 root 用户,必须用操作系统的 root 用户登陆。

auth_socket 这个插件因为有这些特点,它很适合我们在系统投产前进行安装调试的时候使用,而且也有相当的安全性,因为系统投产前通常经常同时使用操作系统的 root 用户和 MySQL 的 root 用户。当我们在系统投产后,操作系统的 root 用户和 MySQL 的 root 用户就不能随便使用了,这时可以换成其它的验证方式,可以使用下面的命令进行切换:

ALTER USER 'root'@'localhost' IDENTIFIED WITH mysql_native_password BY 'test';
OpenStack Octavia(Rocky)的实现与分析
烟云的计算
11-26 8918
目录 文章目录目录
MySQL企业版的安装、配置及部署
AI天才研究院
07-28 1430
MySQL是最流行的开源关系型数据库管理系统之一,它被广泛应用于各个行业和领域。但是在实际环境中,由于需求的不断变化、数据的敏感性要求、高并发、高可用等诸多特点,企业需要更专业的数据库产品来应对复杂的业务场景,如MySQL高可用、MySQL Cluster集群化、备份恢复、数据加密、监控告警、查询优化、灾难恢复等。MySQL企业版是一种旨在满足企业级数据库需求的功能集,旨在实现在线事务处理(OLTP)、数据仓库(DW)、混合部署和实时分析(HTAP)的统一数据库体系结构。
Socket插件
09-27
2017以上的unity版本支持,里面有多个版本的插件不亏哦
MySQL身份验证auth_socket插件
最新发布
weixin_44153121的博客
03-20 571
在Ubuntu 20.04 LTS上,MySQL 8.0默认使用auth_socket插件进行身份验证,可能存在意想不到的情况。
MySQL8认证插件Socket Peer-Credential Pluggable Authentication
贺浦力特的博客
07-06 787
服务器端auth_socket身份验证插件通过Unix套接字文件对从本地主机连接的客户端进行身份验证。该插件使用 SO_PEERCRED 套接字选项来获取有关运行客户端程序的用户的信息。因此,该插件只能在支持 SO_PEERCRED 选项的系统上使用,例如Linux。该插件的源代码可以作为一个相对简单的示例进行检查,演示如何编写可加载的身份验证插件插件和库名称插件或文件插件或文件名称。
Mysql root用户对应的host字段缺少localhost导致本地无法访问数据库问题修复
10-30
Mysql root用户对应的host字段缺少localhost导致本地无法访问数据库问题修复
Socket安全
XY600的博客
10-16 1012
Socket安全 之前我们用的Socket是包的长度加包体内容       ///     /// 封装数据包     ///     ///     ///     private byte[] MakeData(byte[] data)     {         byte[] retBuffer = null;         using (MMO_Memory
MyBatis连接MySQL 8.0 故障 (CLIENT_PLUGIN_AUTH is required) 的思考
ex_xyz的博客
04-20 2608
MyBatis连接MySQL 8.0的方式和连接过程中遇到的故障
RabbitMQ配置文件示例
清茶与浊酒
01-04 1185
RabbitMQ配置文件示例 #====================================== #RabbitMQ经纪人部分 #====================================== ##相关文档指南:https://rabbitmq.com/configure.html。看到 ## https://rabbitmq.com/documentation.html以获得文档ToC。 ## 联网 ## ==================== ## ##相关文
UOS Desktop/server v20 初始化配置及维护指导
企业实战系列集 ●●● https://ximenjianxue.blog.youkuaiyun.com
12-06 3255
因现场OS与厂商应用不兼容,且鉴于信创国产化要求,替换目标系统选用:UOS Desktop 20,基于此,本文将记录下UOS(Uniontech OS)下系统初始化配置及VGPU NVIDIA-Linux先看驱动安装过程,用以指导相关同学参考借鉴!关联资源官网Uos开发者模式权限申请官方 Nvidia 显卡驱动常见问题信创国测目录。
mysql 重置密码 mysqld_safe auth_socket mysql_native_password
joinhonor的博客
12-28 1549
在升级mysql-server5.7之后,原先root密码也不记得了,怎么也进入不去,只得重设密码,选择百度,官网手册,解决问题,做笔记如下: 总体思路:首先,安全启动myqlserver,绕过密码校验环节。查找软件的安全启动方式(配置文件法:/etc/mysql/my.cnf 添加[myqld] skip-grant-tables)或命令行安全启动方式(mysqld_safe  --skip-...
mysql auth socket_MySQL 8.0.4 RC:使用 auth_socket用户要小心!
weixin_35792040的博客
01-27 837
最新的MySQL 8.0.4 RC(候选版)发布的消息的确令人兴奋。 不幸的是对于auth_socket插件的用户来说,危险正在等待中!测试的源代码是从dev.mysql.com下载的,并使用发布选项进行编译。 一些选项被禁用,以减少构建时间,以及设置路径前缀,并确保使用本地的OpenSSL库::version="$(basename $(pwd))";prefix="/home/ceri/opt...
从输入任何密码都可以直接登录 MySQL 的 root 用户谈 auth_socket 验证插件---发表到爱可生开源社区
姚远OracleACE的博客
11-23 2660
文章目录现象分析问题解决auth_socket 验证插件使用场景 现象 一线的工程师反映了一个奇怪的现象,刚刚从 MySQL 官网上下载了一个 MySQL 5.7.31,安装完成后,发现使用任何密码都能登陆 MySQL,修改密码也不管用,重新启动 MySQL 也不能解决。 分析 怀疑使用了 --skip-grant-tables, 使用 mysqld --print-defaults 检查,没有发现。 检查登陆用户,都是 root@localhost,说明和 proxy user 没有关系。 mysql&
MySQL数据库报错:ERROR 1524 (HY000): Plugin ‘auth_socket‘ is not loaded
Mortal3306的博客
04-04 4859
在安装或配置MySQL数据库过程中,用户可能会遇到各种错误,这些错误有时候会让人感到不解。为了帮助你克服这些挑战,本文将深入讨论MySQL安装过程中可能遇到的一个特定错误,提供详细的背景信息、可能的原因以及如何解决这个问题的步骤。
Ubuntu系统上Mysql5.7连接报错:Plugin ‘auth_socket‘ is not loaded
憧憬,思考,奋斗,飞翔
08-14 672
Ubuntu系统上Mysql5.7连接报错:Plugin 'auth_socket' is not loaded
mysql5.7 auth_socket 导致 Access denied for user ‘root‘@‘localhost‘
weixin_39663419的博客
10-06 539
登录mysql后,分析存储登录信息的user表,分析下为何root之前登录失败。 use mysql show tables; select host,user,authentication_string,plugin from user; 不难看出,root这个用户的密码串为空,校验plugin方式为“auth_socket”,查阅mysql官方文档(https://dev.mysql.com/doc/refman/5.7/en/socket-pluggable-authentication.html.
Socket安全(二)
qq_43456605的博客
05-30 2312
但这种不对称的行为可能会导致客户端与服务器之间的通信不安全,可能面临中间人攻击、数据泄露以及安全漏洞的利用风险。使用上述命令,keytool 会生成一个新的密钥对,并将其存储在名为 “jnp4e.keys” 的密钥库文件中。默认情况下是允许建立会话的,如果服务器禁止使用会话,需要会话的客户端仍然能够连接。服务端的安全Socket(即由SSLServerSocket的accept()方法返回的Socket),可以使用。前面介绍的安全的客户端Socket,这里介绍SSL的服务器Socket,它们是。
如何配置k8s etcd使用vault加密secret
02-25
3. 创建Kubernetes的EncryptionConfiguration,指定使用kms提供程序,并指向插件的Unix socket。 4. 将EncryptionConfiguration应用到所有kube-apiserver实例,并重启它们。 5. 验证配置是否生效,例如创建Secret并...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值