发布于admin

MySQL高级讲座篇之:如何利用`Vault`等工具,安全地管理MySQL的数据库凭证?

各位靓仔靓女们,大家好!我是今天的主讲人,咱们今天的主题是:如何利用 Vault 等工具,安全地管理 MySQL 的数据库凭证。说白了,就是教大家怎么把数据库密码藏好,别让坏人给偷了去!

开场白:数据库密码的那些糟心事

想想咱们平时开发,数据库密码是不是直接写在配置文件里?或者更惨,直接硬编码在代码里?这简直就是把银行卡密码贴在银行卡上啊!

这样做风险太大了,一旦代码泄露,或者服务器被入侵,数据库就直接暴露了,损失可就大了。

所以,我们需要一个靠谱的“密码保险箱”,把这些敏感信息藏起来,需要的时候再安全地拿出来用。这个“密码保险箱”,就是我们今天要讲的 Vault

第一部分:Vault 是个啥?为啥要用它?

Vault 就像一个瑞士银行,专门用来存储和管理各种敏感信息,包括数据库密码、API 密钥、证书等等。

Vault 的优点:

  • 集中管理: 所有密码都放在 Vault 里,方便管理。
  • 动态密钥: 可以动态生成数据库账号密码,用完就销毁,大大降低风险。
  • 审计日志: 谁访问了密码,干了啥,都有记录,方便追溯。
  • 权限控制: 只有授权的用户才能访问特定的密码。
  • 加密存储: 所有数据都经过加密,即使 Vault 被入侵,也难以破解。

为啥要用 Vault

简单来说,就是为了安全!我们不能再像以前那样,把数据库密码到处乱放了。Vault 可以帮助我们构建一个更安全的开发和运维环境。

第二部分:Vault 的安装和配置

先别慌,安装 Vault 其实很简单。

1. 下载 Vault

根据你的操作系统,去 HashiCorp 官网下载对应的 Vault 安装包。

2. 安装 Vault

  • Linux: 解压安装包,把 vault 可执行文件放到 /usr/local/bin 目录下。
  • macOS: 可以用 Homebrew 安装:brew install vault
  • Windows: 解压安装包,把 vault 可执行文件添加到系统环境变量中。

3. 启动 Vault

打开终端,输入 vault server -dev 启动 Vault 的开发模式。注意,开发模式只适合本地测试,生产环境千万别用!

4. 初始化 Vault

打开另一个终端,输入以下命令:

vault operator init

这个命令会生成 5 个 unseal key 和一个 root token。一定要把这些信息保存好,丢了就麻烦了!

  • Unseal Key: 用于解封 Vault,每次 Vault 重启都需要用 unseal key 解封才能正常工作。
  • Root Token: 拥有最高权限的 token,可以管理 Vault 的所有资源。

5. 解封 Vault

输入以下命令,依次输入 3 个 unseal key:

vault operator unseal

6. 登录 Vault

输入以下命令,使用 root token 登录:

vault login <root_token>

恭喜你,Vault 已经成功启动并登录了!

第三部分:Vault 的基本使用

Vault 的基本操作包括:

  • 写入 Secret: 把数据库密码等敏感信息写入 Vault
  • 读取 Secret:Vault 读取数据库密码。
  • 权限控制: 设置哪些用户或应用可以访问哪些密码。

1. 写入 Secret:

我们可以使用 vault kv put 命令写入 Secret。例如,我们要把 MySQL 的用户名和密码写入 Vault

vault kv put secret/mysql username=root password=your_password

这个命令会在 secret/mysql 路径下创建一个 Secret,包含 usernamepassword 两个字段。

2. 读取 Secret:

我们可以使用 vault kv get 命令读取 Secret。例如,我们要读取 secret/mysql 下的 username

vault kv get -field=username secret/mysql

这个命令会输出 root

3. 权限控制:

Vault 使用 Policy 来控制权限。我们可以创建一个 Policy,允许特定的用户或应用访问 secret/mysql

首先,创建一个名为 mysql-policy.hcl 的文件,内容如下:

path "secret/mysql" {
  capabilities = ["read"]
}

这个 Policy 允许读取 secret/mysql

然后,使用 vault policy write 命令上传 Policy:

vault policy write mysql-policy mysql-policy.hcl

接下来,创建一个 Token,并绑定这个 Policy:

vault token create -policy=mysql-policy

这个命令会生成一个新的 Token,只有读取 secret/mysql 的权限。

第四部分:动态 MySQL 凭证

Vault 最强大的功能之一就是动态生成数据库凭证。我们可以配置 Vault,让它自动创建 MySQL 账号,并定期更新密码。这样可以大大提高安全性,因为即使密码泄露,也会很快失效。

1. 启用 MySQL Secret Engine:

vault secrets enable -path=mysql mysql

这个命令会启用 MySQL Secret Engine,并将其挂载到 mysql 路径下。

2. 配置 MySQL 连接信息:

vault write mysql/config/connection 
    plugin_name=mysql-database-plugin 
    connection_url="root:your_root_password@tcp(127.0.0.1:3306)/" 
    username="root" 
    password="your_root_password" 
    max_open_connections="5" 
    max_idle_connections="2" 
    max_lifetime="10s"

这个命令会配置 MySQL 的连接信息,包括 root 账号密码、连接地址等等。注意,这里需要使用 MySQL 的 root 账号,Vault 会用它来创建新的数据库账号。

3. 创建 Role:

vault write mysql/roles/readonly 
    db_name="readonly" 
    creation_statements="CREATE USER '{{name}}'@'%' IDENTIFIED BY '{{password}}';" 
    revocation_statements="DROP USER '{{name}}'@'%';" 
    default_ttl="1h" 
    max_ttl="24h"

这个命令会创建一个名为 readonly 的 Role,它会创建只读权限的 MySQL 账号。

  • db_name: Role 的名称。
  • creation_statements: 创建用户的 SQL 语句,{{name}}{{password}} 会被 Vault 自动替换。
  • revocation_statements: 删除用户的 SQL 语句。
  • default_ttl: 默认的凭证有效期,这里设置为 1 小时。
  • max_ttl: 最大凭证有效期,这里设置为 24 小时。

4. 获取动态凭证:

vault read mysql/creds/readonly

这个命令会返回一个动态生成的 MySQL 账号和密码。

代码示例:

以下是一个 Python 代码示例,演示如何从 Vault 获取动态 MySQL 凭证:

import hvac
import pymysql

# Vault 配置
vault_address = "http://127.0.0.1:8200"
vault_token = "s.xxxxxxxxxxxxxxxxxxxxxxxx"  # 替换为你的 Vault Token
mysql_role = "readonly"

# 初始化 Vault 客户端
client = hvac.Client(url=vault_address, token=vault_token)

# 从 Vault 获取动态 MySQL 凭证
try:
    response = client.read(f"mysql/creds/{mysql_role}")
    credentials = response["data"]["data"]
    username = credentials["username"]
    password = credentials["password"]

    # 连接 MySQL 数据库
    connection = pymysql.connect(
        host="127.0.0.1",
        user=username,
        password=password,
        database="testdb",
        charset="utf8mb4",
        cursorclass=pymysql.cursors.DictCursor
    )

    try:
        with connection.cursor() as cursor:
            # 执行查询
            sql = "SELECT * FROM users"
            cursor.execute(sql)
            result = cursor.fetchall()
            print(result)

    finally:
        connection.close()

except Exception as e:
    print(f"Error: {e}")

第五部分:Vault 的最佳实践

  • 不要使用 root token: Root token 拥有最高权限,一旦泄露后果不堪设想。应该创建具有特定权限的 Token,并定期轮换。
  • 启用审计日志: 审计日志可以记录所有操作,方便追溯和排查问题。
  • 定期备份 Vault 数据: 以防数据丢失。
  • 使用 Transit Secret Engine 加密敏感数据: Transit Secret Engine 可以对数据进行加密和解密,即使 Vault 被入侵,也难以破解。
  • 集成 CI/CD:Vault 集成到 CI/CD 流程中,可以自动化管理密码,减少人为错误。

第六部分:其他凭证管理工具

除了 Vault,还有一些其他的凭证管理工具,例如:

  • AWS Secrets Manager: AWS 提供的凭证管理服务,适用于 AWS 云环境。
  • Azure Key Vault: Azure 提供的凭证管理服务,适用于 Azure 云环境。
  • Google Cloud Secret Manager: Google Cloud 提供的凭证管理服务,适用于 Google Cloud 环境。
  • CyberArk: 商业凭证管理解决方案,功能强大,但价格较高。

第七部分:总结

安全管理数据库凭证至关重要,Vault 是一个非常强大的工具,可以帮助我们构建更安全的开发和运维环境。希望今天的讲座能帮助大家更好地理解和使用 Vault。记住,安全无小事,防患于未然!

表格总结:

功能 Vault AWS Secrets Manager Azure Key Vault Google Cloud Secret Manager
适用环境 各种环境,自托管 AWS 云环境 Azure 云环境 Google Cloud 环境
动态凭证 支持 支持 支持 支持
权限控制 灵活的 Policy 机制 IAM RBAC IAM
加密存储 Transit Secret Engine KMS HSM KMS
审计日志 支持 支持 支持 支持
价格 开源,但企业版收费 按 Secrets 数量和访问次数收费 按 Secrets 数量和访问次数收费 按 Secrets 数量和访问次数收费
易用性 需要一定的学习成本 与 AWS 服务集成良好 与 Azure 服务集成良好 与 Google Cloud 服务集成良好

尾声:安全之路,任重道远

好了,今天的讲座就到这里。希望大家以后都能重视数据库密码的安全,不要再犯那些低级错误了。记住,安全不是一蹴而就的事情,需要我们不断学习和实践。让我们一起努力,构建一个更安全的开发和运维环境!

下次再见!

发表回复

您的邮箱地址不会被公开。 必填项已用 * 标注