新特性解读 | MySQL 8.0 多因素身份认证

MySQL 8.0.27 增加了多因素身份认证(MFA)功能，可以为一个用户指定多重的身份校验。为此还引入了新的系统变量 authentication_policy ，用于管理多因素身份认证功能。

我们知道在 MySQL 8.0.27 之前，create user 的时候可以指定一种认证插件，在未明确指定的情况下会取系统变量 default_authentication_plugin的值。default_authentication_plugin 的有效值有3个，分别是 mysql_native_password ，sha256_password ，caching_sha2_password ，这个3个认证插件是内置的、不需要注册步骤的插件。

在 MySQL 8.0.27 中由 authentication_policy 来管理用户的身份认证，先启个 mysql

同时查看下 authentication_policy 和 default_authentication_plugin 的值

我们看到 authentication_policy 的默认值是*,,

第1个元素值是星号（ ），表示可以是任意插件，默认值取 default_authentication_plugin 的值。如果该元素值不是星号（ ），则必须设置为 mysql_native_password ，sha256_password ，caching_sha2_password 中的一个。

第2，3个元素值为空，这两个位置不能设置成内部存储的插件。如果元素值为空，代表插件是可选的。

建个用户看一下，不指定插件名称时，自动使用默认插件 caching_sha2_password

指定插件名称时，会使用到对应的插件

尝试变更一下 authentication_policy 第一个元素的值，设置为 sha256_password

再次创建一个用户，不指定插件的名称

可以看到默认使用的插件是 sha256_password ，说明当 authentication_policy 第一个元素指定插件名称时，default_authentication_plugin 被弃用了。

首先我们恢复 authentication_policy 至默认值

创建一个双重认证的用户。如下创建失败了，因为不可以同时用2种内部存储插件。

那我们来装一个可插拔插件 Socket Peer-Credential

再创建一个双重认证的用户

创建成功，之后用户'wei4'@'localhost'必须提供正确的密码，且同时本地主机的登录用户为 root 时，才会验证通过。

来试一下，以主机 root 用户身份，提供正确的密码 123 ，登录成功。

修改一下，将'wei4'@'localhost'要求的主机登录用户修改为wei4

再次以主机 root 用户身份，提供正确的密码 123 ，登录失败

因此可以认定双重身份认证机制是生效的。MySQL 8.0.27 最多可以对一个用户设置三重的身份认证，这里不再做展示说明。

简单总结下，已有的密码口令身份验证很适合网站或者应用程序的访问，但是在特定的情况下 如网络在线金融交易方面可能还是不够安全。多因素身份认证(MFA)功能的引入，可以在一定程度上提升数据库系统的安全性。

https://dev.mysql.com/doc/refman/8.0/en/server-system-variables.html#sysvar_authentication_policy

一、介绍MySQL AUDIT

MySQL AUDIT Plugin是一个 MySQL安全审计插件，由McAfee提供，设计强调安全性和审计能力。该插件可用作独立审计解决方案，或配置为数据传送给外部监测工具。支持版本为MySQL (5.1, 5.5, 5.6, 5.7)，MariaDB (5.5, 10.0, 10.1) ，Platform (32 or 64 bit)。从Mariadb 10.0版本开始audit插件直接内嵌了，名称为server_audit.so，可以直接加载使用。

二进制文件地址：https://bintray.com/mcafee/mysql-audit-plugin/release

macfee的mysql audit插件虽然日志信息比较大，对性能影响大，但是如果想要开启审计，请斟酌。

二、安装使用MySQL AUDIT

# unzip audit-plugin-mysql-5.6-1.1.5-774-linux-x86_64.zip

MySQL的插件目录为：

mysql>show global variables like 'plugin_dir'

+---------------+------------------------+

| Variable_name | Value                  |

+---------------+------------------------+

| plugin_dir    | /app/mysql/lib/plugin/ |

+---------------+------------------------+

1 row in set (0.00 sec)

复制库文件到MySQL库目录下

# cp audit-plugin-mysql-5.6-1.1.2-694/lib/libaudit_plugin.so /app/mysql/lib/plugin/

# chmod a+x /app/mysql/lib/plugin/libaudit_plugin.so

加载Audit插件

mysql>INSTALL PLUGIN AUDIT SONAME 'libaudit_plugin.so'

查看版本

mysql>show global status like '%audit%'

+------------------------+-----------+

| Variable_name          | Value    |

+------------------------+-----------+

| Audit_protocol_version | 1.0      |

| Audit_version          | 1.1.2-694 |

+------------------------+-----------+

2 rows in set (0.00 sec)

开启Audit功能

mysql>SET GLOBAL audit_json_file=ON

Query OK, 0 rows affected (0.00 sec)

执行任何语句(默认会记录任何语句)，然后去mysql数据目录查看mysql-audit.json文件(默认为该文件)。

当然，我们还可以通过命令查看audit相关的命令。

mysql>SHOW GLOBAL VARIABLES LIKE '%audit%'

其中我们需要关注的参数有：

1、audit_json_file

是否开启audit功能。

2、audit_json_log_file

记录文件的路径和名称信息。

3、audit_record_cmds

audit记录的命令，默认为记录所有命令。可以设置为任意dml、dcl、ddl的组合。如：audit_record_cmds=select,insert,delete,update。还可以在线设置set global audit_record_cmds=NULL。(表示记录所有命令)

4、 audit_record_objs

audit记录 *** 作的对象，默认为记录所有对象，可以用SET GLOBAL audit_record_objs=NULL设置为默认。也可以指定为下面的格式：audit_record_objs=,test.*,mysql.*,information_schema.*。

5、audit_whitelist_users

用户白名单。

三、查看审计数据

插入一些数据，查看一下mysql-audit.json文件信息（json格式），如下：

$ cat /app/mysql/data/mysql-audit.json

{"msg-type":"activity","date":"1517989674556","thread-id":"3","query-id":"39","user":"root","priv_user":"root","ip":"","host":"localhost","connect_attrs":{"_os":"Linux","_client_name":"libmysql","_pid":"1331209","_client_version":"5.6.27","_platform":"x86_64","program_name":"mysql"},"pid":"3472328296227680304","os_user":"0000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000","appname":"0000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000","rows":"10","cmd":"select","objects":[{"db":"sbtest","name":"sbtest1","obj_type":"TABLE"}],"query":"select * from sbtest1 limit 10"}

审计记录文件一般存放在mysql的数据目录下。

---