ProxySQL是一个协议感知的proxy。由于ProxySQL基于流量进行路由,当一个客户端连接ProxySQL时,它还无法识别它的目标主机组,因此ProxySQL需要对该客户端进行认证。基于此,需要为用户提供相关的密码信息以便完成认证。
ProxySQL还需要这些信息来和后端MySQL建立连接,或者在已建立的连接上执行CHANGE_USER。(译注:也就是说,这些用户负责客户端到ProxySQL的连接,也复制ProxySQL到后端节点的连接)
密码配置也使用用户的配置表mysql_users,所以也使用多层配置系统进行管理:
- runtime数据结构中使用MySQL_Authentication()对象来存储认证相关的信息;
- 内存数据库中使用main.mysql_users表存储认证相关信息;
- 磁盘数据库中使用disk.mysql_users表存储认证相关信息。
- 在内存数据库和磁盘数据库的mysql_users表中,和用户认证凭据相关的字段为username和password。
密码格式
无论是内存数据库,还是磁盘数据库,mysql_users.password都支持明文密码格式和hash加密的密码格式:
- plain text
- hashed password
明文密码很简单,从字面即可直到密码内容。如果磁盘数据库和传统的配置文件处于一个安全的路径下,即使需要考虑安全问题,但也没有那么严格。
加密的hash密码和MySQL中存放在mysql.user.password字段中的hash密码格式是一样的。
当密码以*开头时,ProxySQL就认为这是一个加密的hash密码。
加密的hash密码以及认证
在MySQL和ProxySQL中,使用SHA1(SHA1('clear_password'))对clear_password进行加密。无法根据加密的hash密码推导回原始的明文密码。
当客户端连接到ProxySQL时,ProxySQL将使用该加密的密码对用户进行认证。如果该客户端是第一次认证,则ProxySQL会推导出一部分的hash密码SHA1('clear_password')。推导出的信息会存储到runtime的内部数据结构中,以便ProxySQL连接后端MySQL时使用。
如何设置新密码
ProxySQL的Admin管理接口没有PASSWORD()函数,这意味着:
- 无论是明文还是hash加密的密码,都会以插入时的格式进行存储(译注:其实是句废话,意思是设置明文密码,就以明文存储,设置加密密码,就以加密后的结果存储);
- 当在Admin管理接口输入密码时,无法从明文密码推导出加密的hash密码。(可以在MySQL Server上执行select password('password')得到hash密码,并粘贴到管理接口)。
admin-hash_passwords变量
为了方便支持hash密码,ProxySQL 1.2.3引入了一个全局布尔值变量admin-hash_passwords,默认已开启。
当该变量值为true时,执行LOAD MYSQL USERS TO RUNTIME会自动将密码进行hash处理并存储到RUNTIME数据结构中。
mysql_users表中的密码不会自动hash。但要对内存数据库、磁盘数据库中mysql_users中的密码进行hash也很容易。只需从RUNTIME数据结构中拷贝到内存数据库或磁盘数据库中即可。
例如,在执行了LOAD MYSQL USERS TO RUNTIME后,再执行SAVE MYSQL USERS FROM RUNTIME即可保存到内存数据库的mysql_users表中,再执行SAVE MYSQL USERS TO DISK即可保存到磁盘数据库的mysql_users表中。
例如:
Admin> SELECT * FROM mysql_users;
Empty set (0.00 sec)
Admin> INSERT INTO mysql_users(username,password) VALUES ('user1','password1'), ('user2','password2');
Query OK, 2 rows affected (0.00 sec)
Admin> SELECT username,password FROM mysql_users;
+----------+-----------+
| username | password |
+----------+-----------+
| user1 | password1 |
| user2 | password2 |
+----------+-----------+
2 rows in set (0.00 sec)
Admin> LOAD MYSQL USERS TO RUNTIME;
Query OK, 0 rows affected (0.00 sec)
Admin> SELECT username,password FROM mysql_users;
+----------+-----------+
| username | password |
+----------+-----------+
| user1 | password1 |
| user2 | password2 |
+----------+-----------+
2 rows in set (0.00 sec)
执行完上面的语句后,runtime中的密码已经是被hash过的,但内存数据库中的mysql_users表中仍然是明文。所以执行下面的操作,将mysql_users表中的密码修改为hash密码:
Admin> SAVE MYSQL USERS FROM RUNTIME;
Query OK, 0 rows affected (0.00 sec)
Admin> SELECT username,password FROM mysql_users;
+----------+-------------------------------------------+
| username | password |
+----------+-------------------------------------------+
| user1 | *668425423DB5193AF921380129F465A6425216D0 |
| user2 | *DC52755F3C09F5923046BD42AFA76BD1D80DF2E9 |
+----------+-------------------------------------------+
2 rows in set (0.00 sec)
Admin> SAVE MYSQL USERS TO DISK;
然后就可以执行SAVE MYSQL USERS TO DISK将内存数据库中hash后的密码持久化到磁盘数据库的mysql_users表中。
注意:admin-hash_passwords是以admin-开头的变量,不是mysql-开头。这是因为它影响的是Admin接口的行为。
这个细节很重要,因为修改该变量后要使其生效,你要执行的是LOAD ADMIN VARIABLES TO RUNTIME,而不是LOAD MYSQL VARIABLES TO RUNTIME。
另外,明文存储的密码查询的时候只有一个,但是hash后的密码存储后查询的时候会显示两个:
