MySQL InnoDB表空间加密示例详解

2024-09-29 11:00:48

前言

从 MySQL5.7.11开始，MySQL对InnoDB支持存储在单独表空间中的表的数据加密。此功能为物理表空间数据文件提供静态加密。该加密是在引擎内部数据页级别的加密手段，在数据页写入文件系统时加密，加密用的是AES算法，而其解密是在从文件读到内存中时进行。

1 配置加密插件

1.1 修改配置文件

在mysql配置文件【mysqld】x项中添加如下内容

plugin_dir=/usr/local/mysql5.7/lib/mysql/plugin 　　# 插件路径，根据实际情况修改
early-plugin-load="keyring_file.so"    　　# 加密插件
keyring_file_data=/data/mysql3306/keyring/keyring　　# 路径不存在，需要创建
innodb_file_per_table=1 　　　　　　　　　　　　　　　# 只作用于独立表空间

1.2 创建加密所需的路径并配置权限

创建时要注意，keyring_file_data 里配置的keyring会在启动时自动创建，本步骤中创建到对应目录即可

mkdir -p /data/mysql3306/keyring/
chown -R mysql:mysql /data/mysql3306/keyring/
chmod 750 /data/mysql3306/keyring

1.3 重启MySQL

重启mysql即可，启动后会发现注意/data/mysql3306/keyring 目录下生成了 keyring文件

注意，重启后也要看一下mysql错误日志里有没有相关错误信息，如果没有错误则继续进行

1.4 查看插件状态

启动后可以查看插件是否生效

mysql> SELECT PLUGIN_NAME, PLUGIN_STATUS, PLUGIN_Type,PLUGIN_Library FROM INFORMATION_SCHEMA.PLUGINS WHERE PLUGIN_NAME LIKE 'keyring_file';
+--------------+---------------+-------------+-----------------+
| PLUGIN_NAME | PLUGIN_STATUS | PLUGIN_Type | PLUGIN_Library |
+--------------+---------------+-------------+-----------------+
| keyring_file | ACTIVE  | KEYRING  | keyring_file.so |
+--------------+---------------+-------------+-----------------+
1 row in set (0.01 sec)

或者用 show plugins命令查看

2 测试加密表空间

2.1 创建加密的新表

创建一张新表，并添加ENCRYPTION='Y' ，加密表空间

mysql> create table test1(
id int primary key auto_increment,
name varchar(20),
key name(name))
 ENCRYPTION='Y';
Query OK, 0 rows affected (0.02 sec)

此时，keyring文件也会有变化

2.2 新增数据

向新增的测试表里添加测试数据，并查看

mysql> insert into test1(id,name) values(1,'anm'),(2,'keyring');
Query OK, 2 rows affected (0.01 sec)
Records: 2 Duplicates: 0 Warnings: 0

mysql> select * from test1;
+----+---------+
| id | name |
+----+---------+
| 1 | anm  |
| 2 | keyring |
+----+---------+
2 rows in set (0.00 sec)

2.3修改是否加密

测试取消表空间加密

mysql> show create table test1;
+-------+-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+
| Table | Create Table                                                   |
+-------+-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+
| test1 | CREATE TABLE `test1` (
 `id` int(11) NOT NULL AUTO_INCREMENT,
 `name` varchar(20) DEFAULT NULL,
 PRIMARY KEY (`id`),
 KEY `name` (`name`)
) ENGINE=InnoDB AUTO_INCREMENT=3 DEFAULT CHARSET=utf8mb4 ENCRYPTION='Y' |
+-------+-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+
1 row in set (0.00 sec)

mysql> alter table test1 ENCRYPTION='N';
Query OK, 2 rows affected (0.04 sec)
Records: 2 Duplicates: 0 Warnings: 0

mysql> show create table test1;
+-------+-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+
| Table | Create Table                                                   |
+-------+-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+
| test1 | CREATE TABLE `test1` (
 `id` int(11) NOT NULL AUTO_INCREMENT,
 `name` varchar(20) DEFAULT NULL,
 PRIMARY KEY (`id`),
 KEY `name` (`name`)
) ENGINE=InnoDB AUTO_INCREMENT=3 DEFAULT CHARSET=utf8mb4 ENCRYPTION='N' |
+-------+-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+
1 row in set (0.00 sec)

mysql> select * from test1;
+----+---------+
| id | name |
+----+---------+
| 1 | anm  |
| 2 | keyring |
+----+---------+
2 rows in set (0.00 sec)

再配置为加密

mysql> alter table test1 ENCRYPTION='Y';
Query OK, 2 rows affected (0.03 sec)
Records: 2 Duplicates: 0 Warnings: 0

mysql> select * from test1;
+----+---------+
| id | name |
+----+---------+
| 1 | anm  |
| 2 | keyring |
+----+---------+
2 rows in set (0.00 sec)

所以，表空间加密方式是可以在线调整的，且对数据查询不影响。

另外，keyring_file_data也是可以动态调整的，比较简单，就不演示了

2.4 统计表空间加密的表

想要知道哪些表的表空间加密了，可以通过数据字典表里查看

mysql> SELECT TABLE_SCHEMA, TABLE_NAME, CREATE_OPTIONS FROM INFORMATION_SCHEMA.TABLES WHERE table_schema='testdb2' and CREATE_OPTIONS='ENCRYPTION="Y"';
+--------------+------------+----------------+
| TABLE_SCHEMA | TABLE_NAME | CREATE_OPTIONS |
+--------------+------------+----------------+
| testdb2  | test1  | ENCRYPTION="Y" |
+--------------+------------+----------------+
1 row in set (0.00 sec)

3. 异常处理

如果keyring文件损坏或被误删除了，会出现什么情况

3.1 备份keyring文件

为了保险起见，先备份一下keyring文件

[root@mha1 keyring]# cp -p keyring keyring.bak
[root@mha1 keyring]# ll -h
total 8.0K
-rw-r----- 1 mysql mysql 155 Aug 16 09:10 keyring
-rw-r----- 1 mysql mysql 155 Aug 16 09:10 keyring.bak

3.2 删除keyring

直接删除keyring文件

[root@mha1 keyring]# rm -f keyring
[root@mha1 keyring]# ll -h
total 4.0K
-rw-r----- 1 mysql mysql 155 Aug 16 09:10 keyring.bak

3.3 查看数据是否正常

查看数据及新建加密表是否成功

mysql> select * from test1;
+----+---------+
| id | name |
+----+---------+
| 1 | anm  |
| 2 | keyring |
+----+---------+
2 rows in set (0.00 sec)

mysql> create table test2(id int primary key auto_increment, name varchar(20),key name(name)) ENCRYPTION='Y';
Query OK, 0 rows affected (0.01 sec)

也就是说此时，即使keyrig文件丢失也是可以正常操作的

3.4 重启数据库

重启数据库后，会发现，又自动生成了keyring文件

此时再查看加密表

mysql> select * from test1;
ERROR 3185 (HY000): Can't find master key from keyring, please check in the server log if a keyring plugin is loaded and initialized successfully.

创建加密表

mysql> create table test3(id int primary key auto_increment, name varchar(20),key name(name)) ENCRYPTION='Y';
Query OK, 0 rows affected (0.02 sec)

新建表是可以的，因为此时相当于初始化的时候。

那么再将原keyring还原，然后再重启数据库，会发现又能成功了

mysql> select * from test1;
+----+---------+
| id | name |
+----+---------+
| 1 | anm  |
| 2 | keyring |
+----+---------+
2 rows in set (0.00 sec)

4 keyring管理

4.1 定期备份

可以每日进行备份，但是备份的路径和日常备份分开，需要还原的时候再拷贝至目标文件

4.2 定期更新

为了考虑安全性，当怀疑key泄露时，需要进行更新。更新后原先的表依旧可以正常方案，因为更新置灰改变master encryption key 并重新加密 tablespace keys，不会对表空间重新加密或解密。更新的方法：

-- 更新 master key
mysql> ALTER INSTANCE ROTATE INNODB MASTER KEY;
Query OK, 0 rows affected (0.00 sec)

-- 更新后依旧能正常访问
mysql> select * from test1;
+----+---------+
| id | name |
+----+---------+
| 1 | anm  |
| 2 | keyring |
+----+---------+
2 rows in set (0.00 sec)

至此，InnoDB表空间的简单使用就演示完毕。其中还有很多细节，可以查看官方文档进行探索，https://dev.mysql.com/doc/refman/5.7/en/innodb-data-encryption.html。

总结

到此这篇关于MySQL InnoDB表空间加密的文章就介绍到这了,更多相关MySQL InnoDB表空间加密内容请搜索我们以前的文章或继续浏览下面的相关文章希望大家以后多多支持我们！

MySQL判别InnoDB表是独立表空间还是共享表空间的方法详解

前言 InnoDB采用按表空间(tablespace)的方式进行存储数据, 默认配置情况下会有一个初始大小为10MB, 名字为ibdata1的文件, 该文件就是默认的表空间文件(tablespce file),用户可以通过参数innodb_data_file_path对其进行设置,可以有多个数据文件,如果没有设置innodb_file_per_table的话, 那些Innodb存储类型的表的数据都放在这个共享表空间中,而系统变量innodb_file_per_table=1的话,那么InnoDB
mysql Innodb表空间卸载、迁移、装载的使用方法

条件:2台服务器:A和B,需要A服务器上的表迁移到B服务器.Innodb表:sysUser,记录数:351781.以下测试在MySQL 5.5.34中进行.开始处理:1:在B服务器上建立sysUser表,并且执行: 复制代码代码如下: zjy@B : db_test 09:50:30>alter table sysUser discard tablespace; 2:把A服务器表的表空间(ibd)复制到B服务器的相应数据目录.3:修改复制过来的ibd文件权限: 复制代码代码如下: chown
MySQL InnoDB表空间加密示例详解

前言从 MySQL5.7.11开始,MySQL对InnoDB支持存储在单独表空间中的表的数据加密 .此功能为物理表空间数据文件提供静态加密.该加密是在引擎内部数据页级别的加密手段,在数据页写入文件系统时加密,加密用的是AES算法,而其解密是在从文件读到内存中时进行. 1 配置加密插件 1.1 修改配置文件在mysql配置文件[mysqld]x项中添加如下内容 plugin_dir=/usr/local/mysql5.7/lib/mysql/plugin # 插件路径,根据实际情况修改 ear
MySQL教程DML数据操纵语言示例详解

目录 1.数据操纵语言(DML) 2.增添数据(insert) 3.复制已有表,生成新表 1)复制已有表的结构和数据. 2)只复制已有表的结构(得到的是一个空结构表). 3)在2的基础上,向空结构表中插入数据. 4.修改数据update 5.删除数据delete:物理删除(一旦删除就彻底没有了). 6.truncate和delete的区别 1)delete 2)truncate 3)truncate和delete的区别 1.数据操纵语言(DML) 数据操纵语言全称是Data Manipulati
MySQL InnoDB引擎的缓存特性详解

目录 1. 背景 2. 存储器性能差异 3. Buffer Pool 4. Free链表 5. Flush链表 6. LRU链表 7. 其它 1. 背景对于各种用户数据.索引数据等各种数据都是需要持久化存储到磁盘,然后以“页”为单位进行读写. 相对于直接读写缓存,磁盘IO的成本相当高昂. 对于读取的页面数据,并不是使用完就释放掉,而是放到缓冲区,因为下一次操作有可能还需要读区该页面. 对于修改过的页面数据,也不是马上同步到磁盘,也是放到缓冲区,因为下一次有可能还会修改该页面的数据. 但是缓存的
MySql中子查询内查询示例详解

西北望乡何处是,东南见月几回圆. 月亮又慢悠悠的挂上了天空,趁着睡前梦呓,我就带领各位可爱的读者们探索MySql最后的子查询部分. 说明:有些查询结果出来结果截图与题目要求不一样会出现多余的字段是为了方便展示结果的可读性.实际操作的读者可以删除SELECT后面多余的字段得到正确的结果. #WHERE或HAVING后面 #1.标量子查询(单行子查询) #2.列子查询(多行子查询) #3.行子查询(多列多行) #特点: # ①子查询放在小括号内 # ②子查询一般放在条件的右侧 # ③标量子查询:一般
Python MySQL数据库基本操作及项目示例详解

目录一.数据库基础用法二.项目:银行管理系统 1.进行初始化操作 2.登录检查,并选择操作 3.加入查询功能 4.加入取钱功能 5.加入存钱功能一.数据库基础用法要先配置环境变量,然后cmd安装:pip install pymysql 1.连接MySQL,并创建wzg库 #引入decimal模块 import pymysql #连接数据库 db=pymysql.connect(host='localhost',user='root',password='1234',charset='ut
Mysql InnoDB多版本并发控制MVCC详解

目录一丶为什么需要事务隔离级别 1.实现事务隔离的方式:串行执行 2.实现事务隔离的方式:可串行执行二丶并发事务执行的问题:脏写,脏读,不可重复读,幻读 1.脏写 2.脏读 3.不可重复读 4.幻读三丶隔离级别 1.Read UnCommitted 读未提交 2.Read Committed 读已提交 3.Repeatable Read 可重复读 4.Serializable 可串行化四丶Mysql设置隔离级别 1.设置全局隔离级别 2.设置会话隔离级别 3.设置下一个事务的隔离级别 4
MySQL数据库表中的约束详解

目录 MySQL表中的约束(constraint) 约束分类非空约束唯一性约束复合约束主键约束自增列-AUTO_INCREMENT 外键约束FOREIGN KEY约束 CHECK约束 DEFAULT约束 MySQL表中的约束(constraint) 为了保证数据的完整性,(数据的精确性和可靠性) SQL规范以约束的方式对表数据进行额外的条件限制,可从以下四个方面进行考虑实体完整性域完整性引用完整性用户自定义完整性约束?对表中字段的限制. 约束分类约束作用字段的个数单列约束
Oracle删除表及查看表空间的实例详解

Oracle常用的基本命令 --1.用户下表中注释模糊查询: 例如查询与优惠券关联的表 SELECT * FROM user_tab_comments t WHERE t.comments LIKE '%优惠券%'; ![这里写图片描述](http://img.blog.csdn.net/20170321112728053?watermark/2/text/aHR0cDovL2Jsb2cuY3Nkbi5uZXQvdTAxMDQyNzkzNQ==/font/5a6L5L2T/fontsize/40
Mysql教程分组排名实现示例详解

目录 1.数据源 2.数据整体排名 1)普通排名 2)并列排名 3)并列排名 3.数据分组后组内排名 1)分组普通排名 2)分组后并列排名 3)分组后并列排名 4.分组后取各组的前两名 1.数据源 2.数据整体排名 1)普通排名从1开始,按照顺序一次往下排(相同的值也是不同的排名). set @rank =0; select city , score, @rank := @rank+1 rank from cs order by score desc; 结果如下: 2)并列排名相同的值是相同
Go Java算法之Excel表列名称示例详解

目录 Excel表列名称方法一:数学(Java) 方法一:数学(Go) Excel表列名称给你一个整数 columnNumber ,返回它在 Excel 表中相对应的列名称. 例如: A -> 1 B -> 2 C -> 3 ... Z -> 26 AA -> 27 AB -> 28 ... 示例 1: 输入:columnNumber = 1 输出:"A" 示例 2: 输入:columnNumber = 28 输出:"AB"

MySQL InnoDB表空间加密示例详解

相关推荐

随机推荐