MariaDB のセキュリティ強化：MYSQL_ENABLE_CLEARTEXT_PLUGIN 無効化の徹底解説

MariaDBにおける MYSQL_ENABLE_CLEARTEXT_PLUGIN 無効化に関する解説

概要

近年、パスワード認証情報の漏洩事件が頻発しており、暗号化されていないパスワードは容易に推測されてしまう可能性があります。そのため、MYSQL_ENABLE_CLEARTEXT_PLUGIN を無効化することは、MariaDB/MySQL サーバのセキュリティを強化するために重要な対策となります。

無効化による影響

MYSQL_ENABLE_CLEARTEXT_PLUGIN を無効化すると、以下の影響が発生します。

• 暗号化されていないパスワードを使用するクライアントは、MariaDB/MySQL サーバに接続できなくなります。
• 古いバージョンのクライアントソフトウェアは、MYSQL_ENABLE_CLEARTEXT_PLUGIN を無効化できない場合があります。

無効化の手順

1. MariaDB/MySQL サーバの設定ファイル /etc/my.cnf を開きます。
2. 以下の行を追加します。

sql_mode = "NO_ENGINE_SUBSTITUTION,STRICT_TRANS_TABLES,NO_ZERO_IN_DATE,NO_ZERO_DATE,ERROR_FOR_DIVISION_BY_ZERO,NO_AUTO_CREATE_USER,NO_AUTO_VALUE_ON_ZERO"

1. MariaDB/MySQL サーバを再起動します。

代替手段

MYSQL_ENABLE_CLEARTEXT_PLUGIN を無効化すると、古いバージョンのクライアントソフトウェアが接続できなくなる場合があります。そのような場合は、以下の代替手段を検討してください。

• クライアントソフトウェアを最新バージョンにアップグレードする。
• パスワード認証に暗号化を使用するプラグインを使用する。
• --ssl オプションを使用して、SSL/TLS 接続を使用する。

まとめ

MYSQL_ENABLE_CLEARTEXT_PLUGIN を無効化することは、MariaDB/MySQL サーバのセキュリティを強化するために重要な対策です。ただし、無効化によって影響を受けるクライアントソフトウェアがある場合は、代替手段を検討する必要があります。

# MariaDB/MySQL サーバの設定ファイル `/etc/my.cnf`

sql_mode = "NO_ENGINE_SUBSTITUTION,STRICT_TRANS_TABLES,NO_ZERO_IN_DATE,NO_ZERO_DATE,ERROR_FOR_DIVISION_BY_ZERO,NO_AUTO_CREATE_USER,NO_AUTO_VALUE_ON_ZERO"

[mysqld]
plugin_load = "auth_pam.so"

# クライアント側の設定

# コマンドラインクライアント
mysql -h localhost -u root -p --ssl --plugin_dir=/usr/lib/mysql/plugin

# Python
import mysql.connector

config = {
  "user": "root",
  "password": "password",
  "host": "localhost",
  "port": "3306",
  "ssl_ca": "/etc/ssl/ca-certificates.pem",
  "plugin_dir": "/usr/lib/mysql/plugin",
}

connection = mysql.connector.connect(**config)

このサンプルコードでは、以下の設定を行っています。

• sql_mode に NO_AUTO_CREATE_USER オプションを追加することで、パスワード認証に暗号化を使用するプラグインが必須になります。
• plugin_load オプションで、auth_pam.so プラグインをロードします。
• クライアント側では、--ssl オプションと plugin_dir オプションを使用して、SSL/TLS 接続と暗号化プラグインを使用します。

この設定により、MariaDB/MySQL サーバに接続するクライアントは、パスワード認証時に暗号化を使用するようになります。

注意事項

• このサンプルコードは、MariaDB 10.3 以降を対象としています。
• auth_pam.so プラグインは、Linux ディストリビューションによってはデフォルトでインストールされていない場合があります。インストールが必要な場合は、ディストリビューションのマニュアルを参照してください。
• plugin_dir オプションは、プラグインのインストール場所を指定します。環境に合わせて変更してください。

MariaDBにおけるパスワード認証の暗号化

パスワードハッシュは、パスワードを不可逆的に変換する方法です。パスワードハッシュを使用すると、パスワードそのものがデータベースに保存されることはないため、たとえデータベースが漏洩しても、パスワードを推測することは困難になります。

MariaDB/MySQL サーバは、デフォルトでパスワードハッシュを使用しています。ただし、古いバージョンのサーバでは、弱いハッシュアルゴリズムを使用している場合があります。そのため、サーバのバージョンを確認し、必要に応じてハッシュアルゴリズムを強化する必要があります。

SSL/TLS 接続は、クライアントとサーバ間の通信を暗号化する方法です。SSL/TLS 接続を使用すると、通信中のパスワードを盗聴されるリスクを軽減できます。

MariaDB/MySQL サーバは、SSL/TLS 接続をサポートしています。クライアント側でも、SSL/TLS 接続に対応している必要があります。

認証プラグイン

MariaDB/MySQL サーバには、さまざまな認証プラグインが用意されています。これらのプラグインを使用すると、パスワード認証以外にも、Kerberos や LDAP などの認証方式を使用することができます。

認証プラグインを使用する場合は、使用するプラグインと、その設定方法を確認する必要があります。

その他の対策

上記以外にも、以下の対策を講じることで、パスワード認証のセキュリティを強化することができます。

• パスワードポリシーを強化する
• 定期的にパスワードを変更する
• 二段階認証を使用する

まとめ

MariaDB/MySQL サーバにおけるパスワード認証の暗号化には、さまざまな方法があります。これらの方法を組み合わせて、セキュリティを強化することが重要です。