乱爱性全过程免费视频/午夜毛片视频/中文字幕av三区/一级视频网址

當(dāng)前位置: 維易PHP培訓(xùn)學(xué)院 > MYSQL教程 > 內(nèi)容正文

Mysql必讀關(guān)于skip_name_resolve參數(shù)的總結(jié)分享

作者:VEPHP   時間 2017-09-24

《Mysql必讀關(guān)于skip_name_resolve參數(shù)的總結(jié)分享》要點:
本文介紹了Mysql必讀關(guān)于skip_name_resolve參數(shù)的總結(jié)分享,希望對您有用。如果有疑問,可以聯(lián)系我們。

MYSQL教程作為MySQL調(diào)優(yōu)的一部分,很多人都推薦開啟skip_name_resolve.這個參數(shù)是禁止域名解析的(當(dāng)然,也包括主機名).很多童鞋會好奇,這背后的原理是什么,什么情況下開啟這個參數(shù)比較合適.

MYSQL教程基于以下原因,MySQL服務(wù)端會在內(nèi)存中維護著一份host信息, 包括三部分:IP,主機名和錯誤信息.主要用于非本地TCP連接.

MYSQL教程1. 通過在第一次建立連接時緩存IP和host name的映射關(guān)系,同一主機的后續(xù)連接將直接查看host cache,而不用再次進行DNS解析.

MYSQL教程2. host cache中同樣會包含IP登錄失敗的錯誤信息.可根據(jù)這些信息,對這些IP進行相應(yīng)的限制.后面將會具體提到.

MYSQL教程host cache的信息可通過performance_schema中host_cache表查看.

MYSQL教程那么,IP和host name的映射關(guān)系是如何建立的呢?

MYSQL教程1. 當(dāng)有一個新的客戶端連接進來時,MySQL Server會為這個IP在host cache中建立一個新的記錄,包括IP,主機名和client lookup validation flag,分別對應(yīng)host_cache表中的IP,HOST和HOST_VALIDATED這三列.第一次建立連接因為只有IP,沒有主機名,所以HOST將設(shè)置為NULL,HOST_VALIDATED將設(shè)置為FALSE.

MYSQL教程2. MySQL Server檢測HOST_VALIDATED的值,如果為FALSE,它會試圖進行DNS解析,如果解析成功,它將更新HOST的值為主機名,并將HOST_VALIDATED值設(shè)為TRUE.如果沒有解析成功,判斷失敗的原因是永久的還是臨時的,如果是永久的,則HOST的值依舊為NULL,且將HOST_VALIDATED的值設(shè)置為TRUE,后續(xù)連接不再進行解析,如果該原因是臨時的,則HOST_VALIDATED依舊為FALSE,后續(xù)連接會再次進行DNS解析.

MYSQL教程另,解析成功的標(biāo)志并不只是通過IP,獲取到主機名即可,這只是其中一步,還有一步是通過解析后的主機名來反向解析為IP,判斷該IP是否與原IP相同,如果相同,才判斷為解析成功,才能更新host cache中的信息.

MYSQL教程基于上面的總結(jié),下面談?wù)?host cache的優(yōu)缺點:

MYSQL教程缺點:當(dāng)有一個新的客戶端連接進來時,MySQL Server都要建立一個新的記錄,如果DNS解析很慢,無疑會影響性能.如果被允許訪問的主機很多,也會影響性能,這個與host_cache_size有關(guān),這個參數(shù)是5.6.5引入的.5.6.8之前默認是128,5.6.8之后默認是-1,基于max_connections的值動態(tài)調(diào)整.所以如果被允許訪問的主機很多,基于LRU算法,先前建立的連接可能會被擠掉,這些主機重新進來時,會再次進行DNS查詢.

MYSQL教程優(yōu)點:通常情況下,主機名是不變的,而IP是多變的.如果一個客戶端的IP經(jīng)常變化,那基于IP的授權(quán)將是一個繁瑣的過程.因為你很難確定IP什么時候變化.而基于主機名,只需一次授權(quán).而且,基于host cache中的失敗信息,可在一定程度上阻止外界的暴力破解攻擊.

MYSQL教程關(guān)于阻止外界的暴力破解攻擊,涉及到max_connect_errors參數(shù),默認為100,官方的解釋如下:

代碼如下:

If more than this many successive connection requests from a host are interrupted without a successful connection, the server blocks that host from further connections.如果某個客戶端的連接達到了max_connect_errors的限制,將被禁止訪問,并提示以下錯誤:

代碼如下:

Host 'host_name' is blocked because of many connection errors.
Unblock with 'mysqladmin flush-hosts'

下面來模擬一下

MYSQL教程首先,設(shè)置max_connect_errors的值

MYSQL教程
mysql> show variables like 'max_connect_errors';
+--------------------+-------+
| Variable_name   | Value |
+--------------------+-------+
| max_connect_errors | 100  |
+--------------------+-------+
row in set (0.00 sec)
mysql> set global max_connect_errors=2;
Query OK, 0 rows affected (0.00 sec)
mysql> show variables like 'max_connect_errors';
+--------------------+-------+
| Variable_name   | Value |
+--------------------+-------+
| max_connect_errors | 2   |
+--------------------+-------+
row in set (0.00 sec)

MYSQL教程通過telnet模擬interrupted without a successful connection.

MYSQL教程
[root@mysql-slave1 ~]# telnet 192.168.244.145 3306
Trying 192.168.244.145...
Connected to 192.168.244.145.
Escape character is '^]'.
N
5.6.26-log
     K]qA1nYT!w|+ZhxF1c#|kmysql_native_password
^]
!#08S01Got packets out of orderConnection closed by foreign host.
[root@mysql-slave1 ~]# telnet 192.168.244.145 3306
Trying 192.168.244.145...
Connected to 192.168.244.145.
Escape character is '^]'.
N
Y#>PVB(>!Bl}NKnjIj]sMmysql_native_password
^]
!#08S01Got packets out of orderConnection closed by foreign host.
[root@mysql-slave1 ~]# mysql -h192.168.244.145 -uroot -p123456
Warning: Using a password on the command line interface can be insecure.
ERROR 1129 (HY000): Host '192.168.244.144' is blocked because of many connection errors; unblock with 'mysqladmin flush-hosts'

MYSQL教程即便后來使用了正確的賬號和密碼登錄,依舊會被阻止.

MYSQL教程再來看看host_cache表中的信息,sum_connect_errors為2了.

MYSQL教程
mysql> select ip,host,host_validated,sum_connect_errors,count_authentication_errors from performance_schema.host_cache;
+-----------------+------+----------------+--------------------+-----------------------------+
| ip       | host | host_validated | sum_connect_errors | count_authentication_errors |
+-----------------+------+----------------+--------------------+-----------------------------+
| 192.168.244.144 | NULL | YES      |         2 |              0 |
+-----------------+------+----------------+--------------------+-----------------------------+
row in set (0.00 sec)

MYSQL教程該阻止會一直生效,直到采取以下操作:

MYSQL教程1.?mysql> flush hosts;

MYSQL教程2.?# mysqladmin flush-hosts

MYSQL教程3.?truncate table performance_schema.host_cache;

MYSQL教程4. 或者等待該記錄從host cache中被擠掉.

MYSQL教程?

MYSQL教程如果要禁止DNS解析,可設(shè)置skip_name_resolve參數(shù),這樣,mysql.user表中基于主機名的授權(quán)將無法使用,且錯誤日志中會提示:

MYSQL教程
[Warning] 'user' entry 'root@mysql-slave1' ignored in --skip-name-resolve mode.

MYSQL教程這里,通過mysql-slave1訪問,將會拒絕訪問

MYSQL教程
[root@mysql-slave1 ~]# mysql -h192.168.244.145 -uroot -p123
Warning: Using a password on the command line interface can be insecure.
ERROR 1045 (28000): Access denied for user 'root'@'192.168.244.144' (using password: YES)

MYSQL教程host cache是默認開啟的,如果要禁掉,可將host_cache_size設(shè)置為0,該參數(shù)是個動態(tài)參數(shù),可在線修改.

MYSQL教程如果要完全禁掉TCP/IP連接,可在MySQL啟動時,設(shè)置skip-networking參數(shù).

MYSQL教程總結(jié):

MYSQL教程1. 從原理上看,DNS解析一般只針對客戶端的第一次連接,客戶端數(shù)據(jù)量比較小的情況下,開銷其實不大,完全不必啟動skip_name_resolve參數(shù),帶來的好處就是,為客戶端和多變的IP直接解耦,只需對主機名進行一次授權(quán).

MYSQL教程2. 在沒開啟skip_name_resolve情況下,無論是通過# mysql -p123456 走socket連接還是# mysql -p123456 -h127.0.0.1走TCP連接,顯示的用戶都是root@localhost.如果要顯示root@127.0.0.1,必須開啟skip_name_resolve參數(shù).

MYSQL教程另,可通過\s查看當(dāng)前連接使用的是socket還是TCP.

MYSQL教程以上這篇關(guān)于skip_name_resolve參數(shù)的總結(jié)分享就是小編分享給大家的全部內(nèi)容了,希望能給大家一個參考,也希望大家多多支持維易PHP.

轉(zhuǎn)載請注明本頁網(wǎng)址:
http://www.fzlkiss.com/jiaocheng/3706.html


    標(biāo)簽: