ProxySQL是一个协议感知的proxy。由于ProxySQL基于流量进行路由,当一个客户端连接ProxySQL时,它还无法识别它的目标主机组,因此ProxySQL需要对该客户端进行认证。基于此,需要为用户提供相关的密码信息以便完成认证。
ProxySQL还需要这些信息来和后端MySQL建立连接,或者在已建立的连接上执行CHANGE_USER。(译注:也就是说,这些用户负责客户端到ProxySQL的连接,也复制ProxySQL到后端节点的连接)
密码配置也使用用户的配置表mysql_users,所以也使用多层配置系统进行管理:
无论是内存数据库,还是磁盘数据库,mysql_users.password都支持明文密码格式和hash加密的密码格式:
明文密码很简单,从字面即可直到密码内容。如果磁盘数据库和传统的配置文件处于一个安全的路径下,即使需要考虑安全问题,但也没有那么严格。
加密的hash密码和MySQL中存放在mysql.user.password字段中的hash密码格式是一样的。
当密码以*开头时,ProxySQL就认为这是一个加密的hash密码。
在MySQL和ProxySQL中,使用SHA1(SHA1('clear_password'))对clear_password进行加密。无法根据加密的hash密码推导回原始的明文密码。
当客户端连接到ProxySQL时,ProxySQL将使用该加密的密码对用户进行认证。如果该客户端是第一次认证,则ProxySQL会推导出一部分的hash密码SHA1('clear_password')。推导出的信息会存储到runtime的内部数据结构中,以便ProxySQL连接后端MySQL时使用。
ProxySQL的Admin管理接口没有PASSWORD()函数,这意味着:
为了方便支持hash密码,ProxySQL 1.2.3引入了一个全局布尔值变量admin-hash_passwords,默认已开启。
当该变量值为true时,执行LOAD MYSQL USERS TO RUNTIME会自动将密码进行hash处理并存储到RUNTIME数据结构中。
mysql_users表中的密码不会自动hash。但要对内存数据库、磁盘数据库中mysql_users中的密码进行hash也很容易。只需从RUNTIME数据结构中拷贝到内存数据库或磁盘数据库中即可。
例如,在执行了LOAD MYSQL USERS TO RUNTIME
后,再执行SAVE MYSQL USERS FROM RUNTIME
即可保存到内存数据库的mysql_users表中,再执行SAVE MYSQL USERS TO DISK
即可保存到磁盘数据库的mysql_users表中。
例如:
Admin> SELECT * FROM mysql_users; Empty set (0.00 sec) Admin> INSERT INTO mysql_users(username,password) VALUES ('user1','password1'), ('user2','password2'); Query OK, 2 rows affected (0.00 sec) Admin> SELECT username,password FROM mysql_users; +----------+-----------+ | username | password | +----------+-----------+ | user1 | password1 | | user2 | password2 | +----------+-----------+ 2 rows in set (0.00 sec) Admin> LOAD MYSQL USERS TO RUNTIME; Query OK, 0 rows affected (0.00 sec) Admin> SELECT username,password FROM mysql_users; +----------+-----------+ | username | password | +----------+-----------+ | user1 | password1 | | user2 | password2 | +----------+-----------+ 2 rows in set (0.00 sec)
执行完上面的语句后,runtime中的密码已经是被hash过的,但内存数据库中的mysql_users表中仍然是明文。所以执行下面的操作,将mysql_users表中的密码修改为hash密码:
Admin> SAVE MYSQL USERS FROM RUNTIME; Query OK, 0 rows affected (0.00 sec) Admin> SELECT username,password FROM mysql_users; +----------+-------------------------------------------+ | username | password | +----------+-------------------------------------------+ | user1 | *668425423DB5193AF921380129F465A6425216D0 | | user2 | *DC52755F3C09F5923046BD42AFA76BD1D80DF2E9 | +----------+-------------------------------------------+ 2 rows in set (0.00 sec) Admin> SAVE MYSQL USERS TO DISK;
然后就可以执行SAVE MYSQL USERS TO DISK
将内存数据库中hash后的密码持久化到磁盘数据库的mysql_users表中。
注意:admin-hash_passwords是以admin-开头的变量,不是mysql-开头。这是因为它影响的是Admin接口的行为。
这个细节很重要,因为修改该变量后要使其生效,你要执行的是LOAD ADMIN VARIABLES TO RUNTIME
,而不是LOAD MYSQL VARIABLES TO RUNTIME
。
另外,明文存储的密码查询的时候只有一个,但是hash后的密码存储后查询的时候会显示两个: