MySQL连接控制是一个安全插件,当客户端出现指定次数的连接失败时(密码错误),之后的每次连接请求的响应都会逐渐增加延迟,此插件可以帮助数据库抵御类似DDOS攻击或暴力破解密码。
目录
- 一、安装连接控制插件
- 二、连接控制参数配置
- 三、效果测试
一、安装连接控制插件
连接控制插件connection_control.so默认安装在插件目录,你可以通过select @@plugin_dir查找该目录在文件系统上的路径:
select @@plugin_dir;
需要安装的插件分为2个部分:
- connection_cotrol,负责检查连接连接次数,并在检测到超过指定失败次数时增加下一次响应延时。
- connection_control_failed_login_attempts,在information_schema下新增connection_control_failed_login_attempts表记录详细的连接失败的用户及尝试次数信息。
执行下列命令安装连接控制插件:
install plugin connection_control soname 'connection_control.so';
install plugin connection_control_failed_login_attempts soname 'connection_control.so';
通过show plugins检查插件是否安装成功,status为ACTIVE说明成功:
show plugins;
为了重启后可以自动加载插件,建议将下面配置放到my.cnf的[mysqld]模块中:
[mysqld]
plugin-load-add=connection_control.so
二、连接控制参数配置
插件安装完成后,我们可以通过如下参数进行连接控制:
- connection_control_failed_connections_threshold,控制增加相应延迟前的最大失败次数。
- connection_control_min_connection_delay,最小增加响应延迟,单位是毫秒。
- connection_control_max_connection_delay,最大增加响应延迟,单位是毫秒。
下面SQL设置增加延迟前最多可以失败3次,最小增加延迟为1000毫秒(随着失败次数变多,延迟会逐渐变大):
set global connection_control_failed_connections_threshold=3;
set global connection_control_min_connection_delay=1000;
这里同样建议将配置写到my.cnf文件中:
[mysqld]
plugin-load-add=connection_control.so
connection_control_failed_connections_threshold=3
connection_control_min_connection_delay=1000
三、效果测试
完成上面的配置后,我们尝试用错误的密码去不停连接数据库,这里循环10次。通过测试发现第4次开始,数据库响应的时间开始出现延迟,并且随着尝试次数变多,延迟越来越大:
for i in `seq 1 10`
do
time mysql -uroot -p123 2>&1 >/dev/null | grep real
done
状态变量connection_control_delay_generated记录数据库为失败尝试增加相应延迟的次数,上面的示例中,从第4次开始,所有连接尝试都加了延迟,因此变量值是7:
show global status like 'connection_control_delay_generated';
从information_schema.connection_control_failed_login_attempts可以查询到连接失败的用户及次数信息,这里显示root用户有10次尝试登陆失败了:
select * from information_schema.connection_control_failed_login_attempts;
如果要重置失败尝试次数,只需要再次给变量connection_control_failed_connections_threashold赋值即可,状态变量connection_control_delay_generated值也会归零:
set global connection_control_failed_connections_threshold=3;
show global status like 'connection_control_delay_generated';
以上就是连接控制插件的配置及使用,其可以有效防止数据库密码被暴力破解或者高频连接请求导致数据库资源被大量消耗(类DDOS攻击)。
