Password management

最新推荐文章于 2024-10-18 17:13:42 发布
转载 最新推荐文章于 2024-10-18 17:13:42 发布 · 660 阅读 · 0 ·
CC 4.0 BY-SA版权
原文链接:http://www.cnblogs.com/geek-ace/p/9566969.html
文章标签:

#数据库 #runtime #后端

本文介绍了ProxySQL中MySQL密码的相关内容。ProxySQL需对客户端验证,将用户信息存于mysql_users表。密码有明文和hash加密两种存储形式,客户端可用hash密码认证。还说明了输入新密码的方式,以及从v1.2.3引入的全局变量admin - hash_passwords对密码加密的影响。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

MySQL Passwords in ProxySQL

ProxySQL是一个感知协议代理 

ProxySQL是根据流量负载来路由连接的,所以连接到ProxySQL的客户端是不能通过目的主机组的认证的,因此ProxySQL需要对客户端进行验证

所以,ProxySQL需要和用户密码相关的信息:足够通过认证的信息

ProxySQL还需要与后端建立连接的信息,来对当前的连接做change_user

三层机构的配置体系同样适用于用户信息的配置.

ProxySQL存储用户信息到mysql_users表:

  • MySQL_Authentication()是负责存储用户runtime状态信息的对象
  • main.mysql_users缓存内存配置
  • disk.mysql_users持久化用户配置

不管是在内存还是磁盘,mysql_users都将认真信息存储在username和password列中。

Password formats

mysql_users.password中的密码用两种存储形式,不管在内存还是磁盘都是一样的:

  • 明文文本
  • hash加密

明文密码简单易读,如果数据库和配置文件都保存在访问受限的目录,还是可以的。hash加密的密码和MySQL server存储在mysql.user.password的密码有相同的格式。

ProxySQL会把以*开头的密码当作经过hash加密的密码。

Hashed passwords and authentication

在MySQL和ProxySQL中,密码是这样被hash的:SHA1(SHA1('clear_password'))

把一个hash密码转换为明文是根本不可能的

当客户端连接到ProxySQL时,是能通过hash密码进行认证的。

在这第一次客户端认证的过程中,ProxySQL能够获取经过一层加密的密码:SHA1('clear_password')。这个密码是被存储在runtime的,通过它ProxySQL就能够连接后端的mysql server。

How to input new passwords

ProxySQL admin接口没有PASSWORD()函数,也就是说:

  • 密码就是以他们插入的形式存储,明文或者是被hash过的
  • 当从admin输入密码的时候,他获取到的不可能是一个从明文经过加密的hash密码(但是你能在MySQL server上执行select password('password')并复制粘贴这个结果)

Variable admin-hash_passwords

为了支持hash密码加密,从ProxySQL v1.2.3开始引入了一个全局的布尔变量admin-hash_passwords,这个变量默认是启用的

当admin-hash_passwords=true时,只有在LOAD MYSQL USERS TO RUNTIME时密码会被自动加密。mysql_users表中的密码是不会被自动hash的。

但是,在mysql_users表中,密码是很容易被hash的,不管是缓存在内存中,还是持久化到磁盘。其实,从runtime状态复制就好了,比如执行LOAD MYSQL USERS TO RUNTIME后在SAVE MYSQL USERS FROM RUNTIME,然后在SAVE MYSQL USERS TO DISK

如下:

 1 Admin> SELECT * FROM mysql_users;
 2 Empty set (0.00 sec)
 3 
 4 Admin> INSERT INTO mysql_users(username,password) VALUES ('user1','password1'), ('user2','password2');
 5 Query OK, 2 rows affected (0.00 sec)
 6 
 7 Admin> SELECT username,password FROM mysql_users;
 8 +----------+-----------+
 9 | username | password  |
10 +----------+-----------+
11 | user1    | password1 |
12 | user2    | password2 |
13 +----------+-----------+
14 2 rows in set (0.00 sec)
15 
16 Admin> LOAD MYSQL USERS TO RUNTIME;
17 Query OK, 0 rows affected (0.00 sec)
18 
19 Admin> SELECT username,password FROM mysql_users;
20 +----------+-----------+
21 | username | password  |
22 +----------+-----------+
23 | user1    | password1 |
24 | user2    | password2 |
25 +----------+-----------+
26 2 rows in set (0.00 sec)
View Code

上面这一步,runtime的密码是被hash了的,但是mysql_users表中的任然没有被hash,为了是mysql_users表中的也hash:

 1 Admin> SAVE MYSQL USERS FROM RUNTIME;
 2 Query OK, 0 rows affected (0.00 sec)
 3 
 4 Admin> SELECT username,password FROM mysql_users;
 5 +----------+-------------------------------------------+
 6 | username | password                                  |
 7 +----------+-------------------------------------------+
 8 | user1    | *668425423DB5193AF921380129F465A6425216D0 |
 9 | user2    | *DC52755F3C09F5923046BD42AFA76BD1D80DF2E9 |
10 +----------+-------------------------------------------+
11 2 rows in set (0.00 sec)
View Code

然后我们就可以将他保存到磁盘:SAVE MYSQL USERS TO DISK

备注:

admin-hash_passwords是一个admin-变量,不是一个mysql-变量,这是因为他影响了admin的行为

这个细节很重要,因为你需要执行的是LOAD ADMIN VARIABLES TO RUNTIME,而不是LOAD MYSQL VARIABLES TO RUNTIME。

 

 

 

参考文档

转载于:https://www.cnblogs.com/geek-ace/p/9566969.html

汽车信息安全要求(7)——密码管理(password management
daniel315的博客
09-08 812
密码应该包括小写字母和大写字母,以及一个数字和特殊字符,如!@ [\] ^ {|} ~例如,连续5次登录失败后,锁定日志机制5分钟。如果用户继续在另外5分钟内登录失败,该机制将被再次锁定,以指数级增长等待时间。密码的长度至少为12(12)个字符。高度敏感的密码应该有最小长度20个字符。应实施防止暴力猜密码的机制。这种预防机制不应被软件的重刷而意外重置。密码应存储在组件可以使用的最安全的环境中,例如在HSM或TEE中。所有服务、用户或软件的默认密码应立即更改。2. 密码的强力破解。
Password Management:Password in Configuration File(密码在配置文件中)解决方案
热门推荐
yangzhouren_hf的博客
06-01 1万+
注:框架是Struts2+Spring+ibatis 漏洞代码 jdbc.url=jdbc:db2://172.17.33.118:50000/qjxt jdbc.driverClassName=com.ibm.db2.jcc.DB2Driver jdbc.username=db2admin jdbc.password=db2admin 漏洞说明 在配置文件中存储明文
password management
05-16
有没有相国如何管理密码?都应该从什么角度考虑,抛砖引玉一下
Password Management: Hardcoded Password
Misssyou的博客
01-15 6109
1、摘要 硬编码密码可能会以一种不易补救的方式危害系统安全。 2、解释 硬编码密码从来不是个好主意。不仅硬编码的密码允许所有项目的开发人员查看密码, 它也使得解决问题极其困难。代码投入生产后,如果不修补软件,就无法更改密码。 如果受密码保护的帐户受到损害,则系统所有者必须在安全性和可用性之间进行选择。 3、例 1. DriverManager.getConnection(url, "scot...
java开发安全之:Password Management: Hardcoded Password
irizhao的专栏
01-20 2160
WebSphere 以及其他一些应用服务器通常都只提供过期的且相对较弱的加密机制,这对于对安全性要求较高的环境来说是远远不够的。因此,凭证可以存储在加密的数据库中。在系统中的任何位置采用明文的形式存储密码,会造成任何有足够权限的人均可读取和无意中误用密码。更糟的是,如果攻击者能够访问应用程序的字节代码,那么他们就可以利用 javap -c 命令访问已经过反汇编的代码,而这些代码中恰恰包含用户使用过的密码值。... 与Example 1 类似,该代码可以正常运行,但是有权访问此代码的任何人都可以获得此密码。
Password management in Django 密码管理,记忆线索
没事写写博客 的专栏
04-03 1241
Password management in Django Password management is something that should generally not be reinvented unnecessarily, and Django endeavors to provide a secure and flexible set of tools for managing
Adding Password Management to Your Templates(cloudstack)
07-13
Adding Password Management to Your Templates(cloudstack)
Password Management System-开源
05-06
cpm是一个小型控制台工具,用于管理密码,并将密码存储的公共密钥存储在文件中-甚至可以供多个人使用。 加密是通过GnuPG处理的,因此您也可以通过gpg访问程序数据。
Password Management:Hardcoded Password 密码管理:硬编码密码
Dearzh的博客
11-15 520
Abstract: Hardcoded password 可能会危及系统安全性,并且无法轻易修正出现的安全问题。 Explanation: 使用硬编码方式处理密码绝非好方法。这不仅是因为所有项目开发人员都可以使用通过硬编码方式处理的密码,而且还会使解决这一问题变得极其困难。一旦代码投入使用,除非对软件进行修补,否则您再也不能改变密码了。如果帐户中的密码保护减弱,系统所有者将被迫在安全性和可行性...
开发安全之:Password Management: Hardcoded Password
irizhao的专栏
01-19 826
使用硬编码方式处理密码绝非好方法。这不仅是因为所有项目开发人员都可以使用通过硬编码方式处理的密码,而且还会使解决这一问题变得极其困难。在代码投入使用之后,除非对软件进行修补,否则将无法更改密码。在系统中采用明文的形式存储密码,会造成任何有充分权限的人读取和无意中误用密码。较为安全的解决方法来是采用由用户创建的所有者机制,而这似乎也是如今唯一可行的方法。该代码可以正常运行,但是有权访问该代码的任何人都能得到这个密码。一旦程序发布,除非修补该程序,否则可能无法更改数据库用户“scott”和密码“tiger”。
Password Management:Hardcoded t加密配置文件中的敏感信息用户名密码等,也可以对代码里的明文密码进行加密处理;解决jdk17启动报错,ENC()ulisesbocchio
weixin_45559862的博客
10-18 873
Password Management:Hardcoded Password springboot加密配置文件中的敏感信息用户名密码等,也可以对代码里的明文密码进行加密处理
Fortify漏洞之Dynamic Code Evaluation: Code Injection(动态脚本注入)和 Password Management: Hardcoded Password(密...
arkqyo2595的博客
05-14 1987
  继续对Fortify的漏洞进行总结,本篇主要针对 Dynamic Code Evaluation: Code Injection(动态脚本注入)和Password Management: Hardcoded Password(密码硬编码)的漏洞进行总结,如下: 1.1、产生原因:   许多现代编程语言都允许动态解析源代码指令。这使得程序员可以执行基于用户输入的动态指令。...
Management password & resource
xiangtan的博客
12-18 272
1.profile 1>.failed_login_attempts 2>.password_lock_time 3>.password_lift_time 4>.password_grace_time 5>.password_reuse_time 6>.password_reuse_max 7>.password_verify_function 8...
停止Password Manager Agent服务导致应用程序启动缓慢
weixin_33901926的博客
07-20 183
在一个实施环境中,部署了Password Manager用来实现单点登录功能,但是由于Password Manager的提示基本都是以英文为主,而且配置也比较麻烦,普通用户看见会比较影响用户体验,所以用户决定暂时关闭Password Manager功能,为了省事,减少以后的恢复工作量,于是停止了所有XenApp服务器中的Password Manager Agent服务。 停...
Password Management Procedures
cnbird's blog
08-19 801
Obtaining A Unique User Identification or Changing Information (Password Dispatching) Step Person in Charge Action 1. HR Supervisor To obtain a unique user ID or change information for Network logon,
Spring Security-部分官方文档翻译以及思考-密码编码器
渡鸦的博客
07-10 1458
Spring Security-部分官方文档翻译以及思考-密码编码器
如何在ProxySQL中保持散列格式的密码
张冲andy的博客
04-28 789
在这篇博客文章中,我们将看到如何在ProxySQL中保存哈希格式的密码。此外,即使有人以明文形式存储密码,我们也可以很容易地将其转换成散列格式。纯文本密码极易受到未经授权的访问,因为任何有权访问数据库或配置文件的人都可以轻易地读取它们。虽然将这些文件存储在安全的位置可以缓解一些安全问题,但仍然存在数据泄露的风险。另一方面,散列密码与MySQL服务器中的密码以相同的格式存储(MySQL 8.0版本之前)或者列(自MySQL 8.0版本使用插件),提供了额外的安全层。
fortify——password Management
chdyiboke的博客
04-16 3487
对于密码问题,有些password 不能用明文,存在安全隐患。 1.数据库链接:修改密码后,需要修改xml和Java代码 2.常量里面包含关键字password  ,修改、重构一下就OK 3.前端js、jsp 里面,对于密码不显示,可以在input里面加一个属性:autocomplete="off"                                             
对比AppScan Source和Fortify扫描AltoroJ的结果
软件质量优化
02-21 1万+
1、漏洞总数AppScan Source:91Fortify:1212、Disclaimer.htm:34(Cross-Site Scripting:DOM)的漏洞Fortify能扫描出来,AppScan Source扫描不出来另外,Fortify能扫描出比较多Persistent类型的XSS漏洞并且归类比较好(分DOM、Persistent、Reflected类型列出)3、AdminLoginS
jmxremote.password
最新发布
04-01
### JMX Remote Password File Configuration and Usage JMX远程身份验证可以通过配置密码文件来实现更安全的身份验证机制。以下是关于如何配置和使用JMX远程密码文件的相关信息。 #### 密码文件的结构 JMX远程访问支持通过`jmxremote.password`文件定义用户名和密码对。该文件的内容通常如下所示: ```plaintext monitorRole qwerty controlRole abcdefg ``` 每行表示一个用户及其对应的密码。第一个字段是用户名,第二个字段是密码[^1]。此文件应具有严格的权限设置(通常是只读),以防止未经授权的访问。 #### 启用身份验证 为了启用基于密码的身份验证,在启动Java应用程序时需传递额外的参数。例如: ```bash -Dcom.sun.management.jmxremote.authenticate=true \ -Djava.rmi.server.hostname=<hostname> \ -Dcom.sun.management.jmxremote.password.file=/path/to/jmxremote.password ``` 其中: - `com.sun.management.jmxremote.authenticate=true` 表示启用了身份验证。 - `java.rmi.server.hostname` 设置RMI连接器绑定的主机名。 - `com.sun.management.jmxremote.password.file` 指定密码文件的位置[^5]。 #### 访问控制列表 除了密码文件外,还可以通过`jmxremote.access`文件进一步限制用户的操作权限。该文件定义了哪些角色可以执行特定的操作。其格式类似于以下内容: ```plaintext monitorRole readonly controlRole readwrite ``` 这里,“readonly”意味着用户只能查看MBeans的状态,而“readwrite”允许修改属性以及调用方法[^2]。 #### 安全注意事项 当配置JMX远程管理时,建议采取以下措施提高安全性: - 将敏感数据存储在受保护的地方,并确保只有必要的进程能够访问它们; - 使用SSL加密通信链路以防窃听攻击; - 如果可能的话,考虑部署防火墙规则仅限于可信客户端IP地址范围内的请求到达监听端口[^3]。 #### 示例代码片段 下面是一个简单的例子展示如何加载YAML格式配置并初始化JMX收集器对象: ```java public class Example { public static void main(String[] args) throws Exception { String path = "/config/jmx_exporter.yaml"; // 初始化JMX Collector实例 JmxCollector collector = new JmxCollector(new File(path)); System.out.println("Configuration loaded successfully."); } } ``` 上述程序会尝试从指定路径读取名为`jmx_exporter.yaml`的文件作为输入源创建一个新的`JmxCollector`实例[^4]。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值