故障分析 | 正确使用 auth_socket 验证插件

最新推荐文章于 2025-03-20 15:39:04 发布
最新推荐文章于 2025-03-20 15:39:04 发布
阅读量1.4k 收藏 8
点赞数 3
CC 4.0 BY-SA版权
分类专栏: 故障分析 文章标签: 密码安全 auth_socket插件
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ActionTech/article/details/109996422
本文介绍了一种MySQL中auth_socket插件导致的安全问题,任何密码都能登录MySQL的情况及解决办法。通过调整插件类型为mysql_native_password,解决了安全漏洞,并详细介绍了auth_socket插件的特点和适用场景。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

作者:姚远
专注于 Oracle、MySQL 数据库多年,Oracle 10G 和 12C OCM,MySQL 5.6,5.7,8.0 OCP。现在鼎甲科技任技术顾问,为同事和客户提供数据库培训和技术支持服务。
本文来源:原创投稿
*爱可生开源社区出品,原创内容未经授权不得随意使用,转载请联系小编并注明来源。

现象

一线的工程师反映了一个奇怪的现象,刚刚从 MySQL 官网上下载了一个 MySQL 5.7.31。安装完成后,发现使用任何密码都能登陆 MySQL,修改密码也不管用,重新启动 MySQL 也不能解决。

分析

怀疑使用了 --skip-grant-tables 使用 mysqld --print-defaults 检查,没有发现。
检查登陆用户,都是 root@localhost,说明和 proxy user 没有关系。

mysql> select user(),current_user();
+----------------+----------------+
| user()         | current_user() |
+----------------+----------------+
| root@localhost | root@localhost |
+----------------+----------------+
1 row in set (0.01 sec)

使用 mysql --print-defaults 检查客户端是否设置默认的用户和密码,没有发现。
检查数据库中的用户和密码的相关字段:

mysql> select user,host,authentication_string from mysql.user;
+------------------+-----------+------------------------------------------------------------------------+
| user             | host      | authentication_string                                                  |
+------------------+-----------+------------------------------------------------------------------------+
| lisi             | %         | *52BCD17AD903BEC378139B11966C9B91AC4DED7C |
| mysql.session    | localhost | *THISISNOTAVALIDPASSWORDTHATCANBEUSEDHERE |
| mysql.sys        | localhost | *THISISNOTAVALIDPASSWORDTHATCANBEUSEDHERE |
| root             | localhost | *1840214DE27E4E262F5D981E13317691BA886B76 |
+------------------+-----------+------------------------------------------------------------------------+
5 rows in set (0.01 sec)

发现一切都正常,再检查 plugin 字段,发现只有 root 用户是 auth_socket ,其它的用户都是 mysql_native_password,问题可能就出在这儿。

mysql> select user,host,plugin  from mysql.user;
+------------------+-----------+-----------------------+
| user             | host      | plugin                |
+------------------+-----------+-----------------------+
| lisi             | %         | mysql_native_password |
| mysql.session    | localhost | mysql_native_password |
| mysql.sys        | localhost | mysql_native_password |
| root             | localhost | auth_socket           |
+------------------+-----------+-----------------------+
5 rows in set (0.02 sec)

问题解决

对 auth_socket 验证插件不了解,感觉是这个插件不安全,使用下面的命令修改后,问题解决:

update user set plugin="mysql_native_password" where user='root';

auth_socket 验证插件的使用场景

问题解决后,又仔细研究了一下 auth_socket 这个插件,发现这种验证方式有以下特点:

  • 首先,这种验证方式不要求输入密码,即使输入了密码也不验证。这个特点让很多人觉得很不安全,实际仔细研究一下这种方式,发现还是相当安全的,因为它有另外两个限制;

  • 只能用 UNIX 的 socket 方式登陆,这就保证了只能本地登陆,用户在使用这种登陆方式时已经通过了操作系统的安全验证;

  • 操作系统的用户和 MySQL 数据库的用户名必须一致,例如你要登陆 MySQL 的 root 用户,必须用操作系统的 root 用户登陆。

auth_socket 这个插件因为有这些特点,它很适合我们在系统投产前进行安装调试的时候使用,而且也有相当的安全性,因为系统投产前通常经常同时使用操作系统的 root 用户和 MySQL 的 root 用户。当我们在系统投产后,操作系统的 root 用户和 MySQL 的 root 用户就不能随便使用了,这时可以换成其它的验证方式,可以使用下面的命令进行切换:

ALTER USER 'root'@'localhost' IDENTIFIED WITH mysql_native_password BY 'test';
OpenStack Octavia(Rocky)的实现与分析
烟云的计算
11-26 8944
目录 文章目录目录
mysql auth socket_MySQL 8.0.4 RC:使用 auth_socket用户要小心!
weixin_35792040的博客
01-27 840
最新的MySQL 8.0.4 RC(候选版)发布的消息的确令人兴奋。 不幸的是对于auth_socket插件的用户来说,危险正在等待中!测试的源代码是从dev.mysql.com下载的,并使用发布选项进行编译。 一些选项被禁用,以减少构建时间,以及设置路径前缀,并确保使用本地的OpenSSL库::version="$(basename $(pwd))";prefix="/home/ceri/opt...
Socket插件
09-27
2017以上的unity版本支持,里面有多个版本的插件不亏哦
MySQL身份验证auth_socket插件
weixin_44153121的博客
03-20 662
在Ubuntu 20.04 LTS上,MySQL 8.0默认使用auth_socket插件进行身份验证,可能存在意想不到的情况。
MySQL8认证插件Socket Peer-Credential Pluggable Authentication
贺浦力特的博客
07-06 813
服务器端auth_socket身份验证插件通过Unix套接字文件对从本地主机连接的客户端进行身份验证。该插件使用 SO_PEERCRED 套接字选项来获取有关运行客户端程序的用户的信息。因此,该插件只能在支持 SO_PEERCRED 选项的系统上使用,例如Linux。该插件的源代码可以作为一个相对简单的示例进行检查,演示如何编写可加载的身份验证插件插件和库名称插件或文件插件或文件名称。
Mysql root用户对应的host字段缺少localhost导致本地无法访问数据库问题修复
10-30
Mysql root用户对应的host字段缺少localhost导致本地无法访问数据库问题修复
Socket安全
XY600的博客
10-16 1016
Socket安全 之前我们用的Socket是包的长度加包体内容       ///     /// 封装数据包     ///     ///     ///     private byte[] MakeData(byte[] data)     {         byte[] retBuffer = null;         using (MMO_Memory
MyBatis连接MySQL 8.0 故障 (CLIENT_PLUGIN_AUTH is required) 的思考
ex_xyz的博客
04-20 2634
MyBatis连接MySQL 8.0的方式和连接过程中遇到的故障
RabbitMQ配置文件示例
清茶与浊酒
01-04 1193
RabbitMQ配置文件示例 #====================================== #RabbitMQ经纪人部分 #====================================== ##相关文档指南:https://rabbitmq.com/configure.html。看到 ## https://rabbitmq.com/documentation.html以获得文档ToC。 ## 联网 ## ==================== ## ##相关文
root不输入密码也可以登陆,怎么关闭,使用密码进行登录
03-20
MySQL 8.0+ 默认使用 `auth_socket` 插件验证本地用户,该插件允许通过系统用户权限直接登录数据库,无需密码。需修改验证方式为密码验证。 --- ### **解决方案** #### **步骤1:以当前无密码方式登录MySQL** ```...
为什么我的银河麒麟系统mysql在root系统账户下不需要输密码就进入root账户,但是在user账户下输入root密码仍然不能登录
03-17
- 若需保留`auth_socket`插件(免密登录),仅限本地系统root用户使用,禁止远程访问。 - 开放密码验证后,需确保密码强度并定期更新。 2. **配置文件检查** - 确认`/etc/mysql/mysql.conf.d/mysqld.cnf`中未...
mysql 重置密码 mysqld_safe auth_socket mysql_native_password
joinhonor的博客
12-28 1557
在升级mysql-server5.7之后,原先root密码也不记得了,怎么也进入不去,只得重设密码,选择百度,官网手册,解决问题,做笔记如下: 总体思路:首先,安全启动myqlserver,绕过密码校验环节。查找软件的安全启动方式(配置文件法:/etc/mysql/my.cnf 添加[myqld] skip-grant-tables)或命令行安全启动方式(mysqld_safe  --skip-...
从输入任何密码都可以直接登录 MySQL 的 root 用户谈 auth_socket 验证插件---发表到爱可生开源社区
姚远OracleACE的博客
11-23 2700
文章目录现象分析问题解决auth_socket 验证插件使用场景 现象 一线的工程师反映了一个奇怪的现象,刚刚从 MySQL 官网上下载了一个 MySQL 5.7.31,安装完成后,发现使用任何密码都能登陆 MySQL,修改密码也不管用,重新启动 MySQL 也不能解决。 分析 怀疑使用了 --skip-grant-tables, 使用 mysqld --print-defaults 检查,没有发现。 检查登陆用户,都是 root@localhost,说明和 proxy user 没有关系。 mysql&
MySQL数据库报错:ERROR 1524 (HY000): Plugin ‘auth_socket‘ is not loaded
Mortal3306的博客
04-04 5068
在安装或配置MySQL数据库过程中,用户可能会遇到各种错误,这些错误有时候会让人感到不解。为了帮助你克服这些挑战,本文将深入讨论MySQL安装过程中可能遇到的一个特定错误,提供详细的背景信息、可能的原因以及如何解决这个问题的步骤。
Ubuntu系统上Mysql5.7连接报错:Plugin ‘auth_socket‘ is not loaded
憧憬,思考,奋斗,飞翔
08-14 680
Ubuntu系统上Mysql5.7连接报错:Plugin 'auth_socket' is not loaded
mysql5.7 auth_socket 导致 Access denied for user ‘root‘@‘localhost‘
weixin_39663419的博客
10-06 549
登录mysql后,分析存储登录信息的user表,分析下为何root之前登录失败。 use mysql show tables; select host,user,authentication_string,plugin from user; 不难看出,root这个用户的密码串为空,校验plugin方式为“auth_socket”,查阅mysql官方文档(https://dev.mysql.com/doc/refman/5.7/en/socket-pluggable-authentication.html.
Socket安全(二)
qq_43456605的博客
05-30 2359
但这种不对称的行为可能会导致客户端与服务器之间的通信不安全,可能面临中间人攻击、数据泄露以及安全漏洞的利用风险。使用上述命令,keytool 会生成一个新的密钥对,并将其存储在名为 “jnp4e.keys” 的密钥库文件中。默认情况下是允许建立会话的,如果服务器禁止使用会话,需要会话的客户端仍然能够连接。服务端的安全Socket(即由SSLServerSocket的accept()方法返回的Socket),可以使用。前面介绍的安全的客户端Socket,这里介绍SSL的服务器Socket,它们是。
android socketio权限,简要分析socketio-auth
weixin_39786534的博客
06-03 731
为什么写这篇看到不少noder在问socket.io如何控制权限这类问题,想到去年在echojs还是HackerNews上看到的socketio-auth模块,还是一定程度上解决这类问题的,尽管它的实现相当简单,但至少提供了一个思路。socketio-auth是啥大致验证过程1.为socket.io挂上模块var io = require('socket.io').listen(app);requ...
为什么MySQL 8.0默认使用auth_socket插件导致本地密码验证失败?
最新发布
07-05
<think>我们正在讨论MySQL 8.0默认使用auth_socket插件导致本地密码验证失败的问题。需要解释原因,并按照要求提出相关问题。 注意:回答末尾必须包含“§§相关问题§§”并列出3-5个相关问题。 原因分析: 1. MySQL 8.0在部分安装场景(如Debian系系统)中,root用户默认使用auth_socket插件认证。 2. auth_socket插件通过Unix socket文件验证用户,不依赖密码。 3. 当尝试使用密码连接(如TCP连接)时,即使密码正确也会被拒绝。 详细解释: - auth_socket插件允许用户通过操作系统的登录用户身份直接登录MySQL,无需密码。 - 这种机制增强了本地安全性,但导致远程或密码登录失败。 注意:不同安装方式(如Docker官方镜像)可能默认配置不同,但问题中描述的容器内报错正是由于此原因。</think>### MySQL 8.0默认使用auth_socket插件导致密码验证失败的原因分析 MySQL 8.0默认使用`auth_socket`插件导致本地密码验证失败的核心原因在于**安全策略的转变**和**身份验证机制的根本差异**: #### 1. 安全策略升级 - **最小权限原则**:MySQL 8.0采用更严格的安全模型 - **本地特权分离**:默认假设本地连接已通过操作系统级认证 - **密码攻击防护**:减少密码在内存中的暴露时间 #### 2. auth_socket插件工作原理 ```mermaid graph LR A[客户端连接请求] --> B{auth_socket验证} B -->|匹配操作系统用户| C[授权访问] B -->|不匹配| D[拒绝访问] ``` - **无密码验证**:通过Unix socket检查连接进程的OS用户ID - **用户映射要求**: - MySQL用户名必须与OS用户名完全匹配 - 连接必须来自localhost(Unix socket方式) - **典型错误场景**: ```sql -- 创建用户时未指定认证方式 CREATE USER 'root'@'localhost'; -- 默认使用auth_socket -- 尝试密码连接 mysql -u root -p # 被拒绝 ``` #### 3. 密码验证被绕过的技术原因 1. **插件优先级**: - `auth_socket`优先于`caching_sha2_password` - 当用户存在时,MySQL按插件注册顺序验证 2. **连接协议限制**: - auth_socket仅适用于Unix socket连接 - TCP连接自动尝试密码验证,但root用户未配置密码插件 3. **默认用户配置差异**: ```sql -- MySQL 8.0默认安装后 SELECT user, host, plugin FROM mysql.user; -- 典型输出: +------------------+-----------+-----------------------+ | user | host | plugin | +------------------+-----------+-----------------------+ | root | localhost | auth_socket | ← 问题根源 | mysql.session | localhost | caching_sha2_password | | mysql.sys | localhost | caching_sha2_password | +------------------+-----------+-----------------------+ ``` #### 4. 与早期版本对比 | 特性 | MySQL 5.7 | MySQL 8.0 | |---------------------|-------------------------|-------------------------| | 默认root认证插件 | mysql_native_password | auth_socket (部分安装) | | 本地连接安全策略 | 密码验证 | OS用户验证 | | 新用户默认插件 | mysql_native_password | caching_sha2_password | #### 5. 解决方案核心 ```sql -- 关键修复命令 ALTER USER 'root'@'localhost' IDENTIFIED WITH caching_sha2_password BY 'your_password'; ``` 此命令: 1. 更换认证插件 2. 设置密码凭证 3. 保持用户权限不变
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值