Наличие проблем с allow has_ssl mariadb

Question

Я немного новичок unix и работаю с сервером MariaDB Enterprise на RHEL 7.2 и подключаюсь к нему через клиент RHEL 7.2. Я использовал this guide создать все сертификаты и ключи мне нужно для сервера и клиента, так, вот что my.cnf выглядит следующим образом:

# Example mysql config file. 
# You can copy this to one of: 
# /etc/my.cnf to set global options, 
# /mysql-data-dir/my.cnf to get server specific options or 
# ~/my.cnf for user specific options. 
# 
# One can use all long options that the program supports. 
# Run the program with --help to get a list of available options 

# This will be passed to all mysql clients 
[client] 
#password=my_password 
#port=3306 
#socket=/tmp/mysql.sock 
#datadir=/var/lib/mysql 


# Here is entries for some specific programs 
# The following values assume you have at least 32M ram 

# The MySQL server 
[mysqld] 
#port=3306 
#socket=/var/lib/mysql/mysql.sock 

temp-pool 

# The following three entries caused mysqld 10.0.1-MariaDB (and possibly other versions) to abort... 
# skip-locking 
# set-variable = key_buffer=16M 
# set-variable = thread_cache=4 

loose-innodb_data_file_path = ibdata1:1000M 
loose-mutex-deadlock-detector 
gdb 

######### Fix the two following paths 

# Where you want to have your database 
data=/var/lib/mysql 

# Where you have your mysql/MariaDB source + sql/share/english 
#language=/path/to/src/dir/sql/share/english 
#language=/usr/local/mysql/share 

[mysqldump] 
quick 
set-variable = max_allowed_packet=16M 

[mysql] 
no-auto-rehash 

[myisamchk] 
set-variable= key_buffer=128M 

[mysqld] 
ssl-ca=/etc/mysql-ssl/ca-cert.pem 
ssl-cert=/etc/mysql-ssl/server-cert.pem 
ssl-key=/etc/mysql-ssl/server-key.pem 
bind-address=* 
socket=/var/lib/mysql/mysql.sock 
datadir=/var/lib/mysql 
user=mysql 
bind-address=* 

# Disabling symbolic-links is recommended to prevent assorted security risks 
symbolic-links=0 
# Settings user and group are ignored when systemd is used. 
# If you need to run mysqld under a different user or group, 
# customize your systemd unit file for mariadb according to the 
# instructions in http://fedoraproject.org/wiki/Systemd 

[mysqld_safe] 
log-error=/var/log/mariadb/mariadb.log 
pid-file=/var/run/mariadb/mariadb.pid 

# 
# include all files from the config directory 
# 
!includedir /etc/my.cnf.d 

и я остановил службу MySQL и начал так:

service mysql start --ssl-ca=ca-cert.pem --ssl-cert=server-cert.pem --ssl-key=server-key.pem 

Но все же, когда я пытаюсь проверить, если SSL включен, я всегда вижу это:

MariaDB [(none)]> SHOW GLOBAL VARIABLES LIKE 'have_%ssl'; 
+---------------+----------+ 
| Variable_name | Value | 
+---------------+----------+ 
| have_openssl | YES  | 
| have_ssl  | DISABLED | 
+---------------+----------+ 

а также SSL-требуя пользователь я создал получает доступ запрещен.

Согласно всем веб-сайтам, которые я искал, это должно быть достаточно, чтобы просто запустить службу mysql с помощью этих данных ssl или просто ключ ssl, но ничего не работает.

Что мне делать?

Answer 1

Вы уверены, что у каждого пользователя есть доступ для чтения к вашим учетным данным? Если нет, то может помочь chmod ugo+r /etc/mysql-ssl/*.

Answer 2

Я сделал свое собственное исследование по этой самой проблеме, и я ошеломлен.

Возможность включить поддержку ssl в MariaDB в Fedora не только отключена, но и искалечена и запутана, что полностью исключает возможность ее включения, и в то же время позволяет поддерживающим Fedora отказывать в их полной нехватке поддержки для этого.

Примечание тщательно этот отрывок из "/usr/lib/systemd/system/mariadb.service"

# MYSQLD_OPTS here is for users to set in /etc/systemd/system/mariadb@.service.d/MY_SPECIAL.conf 
# Note: we set --basedir to prevent probes that might trigger SELinux alarms, 
# per bug #547485 
ExecStart=/usr/libexec/mysqld --basedir=/usr $MYSQLD_OPTS $_WSREP_NEW_CLUSTER 

Особенно агрессивный язык, "MY_SPECIAL.conf" во всех CAPS, и, видимо, преднамеренный отказ системы Fedora, чтобы прочитать этот файл конфигурации, когда он помещен в задокументированное местоположение.

«Сигналы SELinux», по-видимому, вызваны многочисленными проблемами с нулевыми днями, ошибками, cves и проблемами безопасности в самой MariaDB (как многие из них, без сомнения, унаследованы от MySQL), что, вероятно, не стоит времени или усилий или ложное чувство безопасности для включения SSL.