MySQL主从中复制账号密码可以加密吗？

抛开一切努力去做 · 发表于 2024-11-26 22:37:45

搭建MySQL主从复制后，你会发现复制账号的密码是明文存储在mysq.mysql.slave_master_info这张系统表的User_password字段当中，早期MySQL版本中，账号密码存储在master.info文件中。如下案例所示：

mysql> select * from mysql.slave_master_info\G
*************************** 1. row ***************************
Number_of_lines: 33
Master_log_name: mysql_binlog.000001
Master_log_pos: 1165
Host: 192.168.9.154
User_name: repl
User_password: ReL@wpL#123456
Port: 3306
Connect_retry: 60
Enabled_ssl: 0
Ssl_ca:
Ssl_capath:
Ssl_cert:
Ssl_cipher:
Ssl_key:
Ssl_verify_server_cert: 0
Heartbeat: 30
Bind:
Ignored_server_ids: 0
Uuid: da5deebc-9b54-11ef-b5d0-0050569739e5
Retry_count: 86400
Ssl_crl:
Ssl_crlpath:
Enabled_auto_position: 0
Channel_name:
Tls_version:
Public_key_path:
Get_public_key: 1
Network_namespace:
Master_compression_algorithm: uncompressed
Master_zstd_compression_level: 3
Tls_ciphersuites: NULL
Source_connection_auto_failover: 0
Gtid_only: 0
1 row in set (0.00 sec)
mysql>

复制代码

那么在搭建主从复制的时候，有没有方法将这个账号密码加密呢？检索了一些资料，在当前这个时间点，所有的MySQL版本都没有提供方法将其加密。也就是说，当前阶段，没有任何方法加密这个账号密码。确切的说是官方没有提供任何方法。完全忽略了这个安全隐患。
官方文档[How To Encypt Replication Credentials In mysql.slave_master_info (Doc ID 2623399.1)]中也给出了简单答复。至于如何规避密码明文存储的一些风险问题，官方给出的建议如下：
Ensure that the master info repository can be accessed only by the database administrator.
[...]
Use a restricted access mode to protect database backups that include log tables or log files containing passwords."
个人强烈建议在创建复制账号时，一定要严格限制这个账号的IP地址，以及账号的权限。不要授予过大的权限。

--在MySQL主/从库中：创建数据同步的账号(从库也创建相同账号，方便切换)
create user repl@'192.168.xxx.xx%' identified by "xxxxxxx";
flush privileges;
grant replication slave on . to 'repl'@'192.168.xxx.xx%';
flush privileges;

复制代码

扫描上面二维码关注我如果你真心觉得文章写得不错，而且对你有所帮助，那就不妨帮忙“推荐"一下，您的“推荐”和”打赏“将是我最大的写作动力！本文版权归作者所有，欢迎转载，但未经作者同意必须保留此段声明，且在文章页面明显位置给出原文连接.
来源:https://www.cnblogs.com/kerrycode/p/18569792
免责声明：由于采集信息均来自互联网，如果侵犯了您的权益，请联系我们【E-Mail:cb@itdo.tech】我们会及时删除侵权内容，谢谢合作！