如何在网络上保护MySQL连接？

Question

5

我在Centos 6上运行Tomcat 7/MySQL 5.6。现在需要将数据库分离到另一台服务器。如何确保Tomcat和后端MySQL服务器之间的连接安全性？它是虚拟化的，我不想通过共享网络打开连接。我的想法是通过ssh进行隧道传输。SSL似乎很麻烦。但有没有“推荐”的方法？

- PrecisionPete

使用SSL，您有另一种选项可以使用SSH，但它是在Windows环境中。 - fmodos

由于mysql本身支持SSL，这很可能是更有效的方法。虽然SSH隧道同样可行。我会说90%是“品味问题”。:) SSL可能需要更多的设置工作，但如果你做得正确，保护你的SSH隧道也需要一些工作，因为它更加灵活，提供了更多的利用选项。 - Mantriur

1个回答

网页内容由stack overflow 提供, 点击上面的

可以查看英文原文，
原文链接

- Bill Karwin · Accepted Answer

你对在开放网络上发送流量持谨慎态度是正确的。MySQL协议默认情况下完全没有加密，因此如果有人可以在你的网络上捕获数据包，那么他们可以看到你的所有数据。

我更喜欢使用ssh隧道或VPN连接。我只是发现它更容易配置。

我的同事Ernie Souhrada在Percona发布了几篇关于使用ssh隧道与使用MySQL客户端选项通过SSL连接并承担每个连接握手开销效率的非常好的博客文章。

Ernie报告的SSL握手的性能影响对于Tomcat环境来说不太是一个问题，因为通常会有连接池，因此新连接的频率会较低。