【Ubuntu 20.04 LTS Server】MySQLサーバを動かす

スポンサーリンク

以前の記事で「Ubuntu 20.04 LTS Server」をインストールした。

【Ubuntu 20.04 LTS Server】新規にインストールする
Ubuntu 20.04 LTS が、2020年4月24日にリリースされた。先日の記事では Ubuntu 18.04 LTS Server からのアップグレードだったが、新規に「Ubuntu 20.04 LTS Server」をインスト...

続いて、WordPressなどを動かす準備として、MySQLサーバを動かすようにしたので備忘録を残す。

準備

MySQLサーバとクライアントツールのインストール

$ sudo apt install mysql-server mysql-client

サービスの起動確認

$ sudo service mysql status
● mysql.service - MySQL Community Server
     Loaded: loaded (/lib/systemd/system/mysql.service; enabled; vendor preset: enabled)
     Active: active (running) since Sun 2020-08-16 10:59:31 JST; 5min ago
    Process: 21662 ExecStartPre=/usr/share/mysql/mysql-systemd-start pre (code=exited, st>
   Main PID: 21686 (mysqld)
     Status: "Server is operational"
      Tasks: 38 (limit: 9298)
     Memory: 332.3M
     CGroup: /system.slice/mysql.service
             └─21686 /usr/sbin/mysqld

 8月 16 10:59:30 yokosrv1 systemd[1]: Starting MySQL Community Server...
 8月 16 10:59:31 yokosrv1 systemd[1]: Started MySQL Community Server.

MySQLの基本設定

mysql_secure_installation コマンドを実行し、管理者(root)パスワードなどインストール後の初期設定を行う。基本的には「y」で進める。

 $ sudo mysql_secure_installation

Securing the MySQL server deployment.

Connecting to MySQL using a blank password.

VALIDATE PASSWORD PLUGIN can be used to test passwords
and improve security. It checks the strength of password
and allows the users to set only those passwords which are
secure enough. Would you like to setup VALIDATE PASSWORD plugin?

Press y|Y for Yes, any other key for No: y            <===「VALIDATE PASSWORD plugin」によるパスワードチェックを使う

There are three levels of password validation policy:

LOW    Length >= 8
MEDIUM Length >= 8, numeric, mixed case, and special characters
STRONG Length >= 8, numeric, mixed case, special characters and dictionary                  file

Please enter 0 = LOW, 1 = MEDIUM and 2 = STRONG: 0    <===パスワードのチェックレベル
Please set the password for root here.

New password:                 <===rootのパスワード

Re-enter new password:        <===パスワード確認再入力

Estimated strength of the password: 50
Do you wish to continue with the password provided?(Press y|Y for Yes, any other key for No) : y
By default, a MySQL installation has an anonymous user,
allowing anyone to log into MySQL without having to have
a user account created for them. This is intended only for
testing, and to make the installation go a bit smoother.
You should remove them before moving into a production
environment.

Remove anonymous users? (Press y|Y for Yes, any other key for No) : y
Success.


Normally, root should only be allowed to connect from
'localhost'. This ensures that someone cannot guess at
the root password from the network.

Disallow root login remotely? (Press y|Y for Yes, any other key for No) : y
Success.

By default, MySQL comes with a database named 'test' that
anyone can access. This is also intended only for testing,
and should be removed before moving into a production
environment.


Remove test database and access to it? (Press y|Y for Yes, any other key for No) : y
 - Dropping test database...
Success.

 - Removing privileges on test database...
Success.

Reloading the privilege tables will ensure that all changes
made so far will take effect immediately.

Reload privilege tables now? (Press y|Y for Yes, any other key for No) : y
Success.

All done!
  • MySQL5.7からは、「VALIDATE PASSWORD プラグイン」がインストールされるようになった。

ローカルコンソールからMySQLサーバに接続

$ sudo mysql -u root -p
  • 前期の初期設定でのrootユーザは auth_socket 認証で設定されているので、mysqlコマンドでは「sudo」が必要。
  • 「sudo」のパスワードと「MySQL管理者」のパスワードを聴かれるので混乱しないように入力。

状態表示

mysql> status

ユーザ一覧表示

mysql> select user,plugin,host FROM mysql.user;

データベース一覧表示

mysql> show databases;

特定のユーザーの権限確認

mysql> show grants for 'ユーザ名'@'ホスト名';

終了

mysql> exit

rootユーザの認証方式確認

ユーザ一覧を表示して、rootユーザの確認。

$ sudo mysql -u root -p

mysql> SELECT user,plugin,host FROM mysql.user;
+------------------+-----------------------+-----------+
| user             | plugin                | host      |
+------------------+-----------------------+-----------+
| debian-sys-maint | caching_sha2_password | localhost |
| mysql.infoschema | caching_sha2_password | localhost |
| mysql.session    | caching_sha2_password | localhost |
| mysql.sys        | caching_sha2_password | localhost |
| root             | auth_socket           | localhost |
+------------------+-----------------------+-----------+
5 rows in set (0.00 sec)

前記インストールの初期設定では、rootユーザは「auth_socket」認証となっている。

以下の手順で従来の認証方式に変更する事もできる。但し、「root」のユーザ名は容易に想像できるので、セキュリティー的には、auth_socket 認証で二段階認証のまま使う方が良いのではないかと思われる。(rootユーザでアクセスする時は、sudo が必要)

rootユーザのパスワード認証変更

従来の認証方式に変更する場合は、下記手順。

mysql > ALTER USER 'root'@'localhost' IDENTIFIED WITH mysql_native_password BY 'yourpassword';
Query OK, 0 rows affected (0.01 sec)

mysql> FLUSH PRIVILEGES;
Query OK, 0 rows affected (0.01 sec)

mysql> SELECT user,plugin,host FROM mysql.user;
+------------------+-----------------------+-----------+
| user             | plugin                | host      |
+------------------+-----------------------+-----------+
| debian-sys-maint | caching_sha2_password | localhost |
| mysql.infoschema | caching_sha2_password | localhost |
| mysql.session    | caching_sha2_password | localhost |
| mysql.sys        | caching_sha2_password | localhost |
| root             | mysql_native_password | localhost |
+------------------+-----------------------+-----------+
5 rows in set (0.00 sec)

rootユーザが、mysql_native_password に変更された。以降、mysqlには下記のように sudo なしで入れる。

$ mysql -u root -p

rootアクセスが必要な時には sudo を付加する手間はあるが、セキュリティー的には安心できるので「auth_socket」認証のまま使う事にする。

パスワードポリシーの確認

MySQLに接続して、現状のパスワードポリシー設定を確認。

$ sudo mysql -u root -p
mysql> SHOW VARIABLES LIKE 'validate_password%';
+--------------------------------------+--------+
| Variable_name                        | Value  |
+--------------------------------------+--------+
| validate_password.check_user_name    | ON     |
| validate_password.dictionary_file    |        |
| validate_password.length             | 8      |
| validate_password.mixed_case_count   | 1      |
| validate_password.number_count       | 1      |
| validate_password.policy             | MEDIUM |
| validate_password.special_char_count | 1      |
+--------------------------------------+--------+
7 rows in set (0.00 sec)

パスワードポリシーの初期値が、下記の「MEDIUM」ポリシーとなっているので変更する。

MEDIUM ポリシーは、パスワードが最低 1 つの数値文字を含み、1 つの小文字および大文字を含み、1 つの特殊文字 (英数字以外) を含む必要があるという条件を追加します。

パスワードポリシーを、「LOW」に設定し確認。

mysql> SET GLOBAL validate_password.policy=LOW;
Query OK, 0 rows affected (0.00 sec)

mysql> SHOW VARIABLES LIKE 'validate_password%';
+--------------------------------------+-------+
| Variable_name                        | Value |
+--------------------------------------+-------+
| validate_password.check_user_name    | ON    |
| validate_password.dictionary_file    |       |
| validate_password.length             | 8     |
| validate_password.mixed_case_count   | 1     |
| validate_password.number_count       | 1     |
| validate_password.policy             | LOW   |
| validate_password.special_char_count | 1     |
+--------------------------------------+-------+
7 rows in set (0.01 sec)
  • 上記手順でパスワードポリシーの設定変更しても、一定時間経過(再起動?)するとデフォルトに戻る模様???(このバージョンから?)

DB文字コードの確認

mysql> status
--------------
mysql  Ver 8.0.21-0ubuntu0.20.04.4 for Linux on x86_64 ((Ubuntu))

Connection id:      12
Current database:
Current user:       root@localhost
SSL:            Not in use
Current pager:      stdout
Using outfile:      ''
Using delimiter:    ;
Server version:     8.0.21-0ubuntu0.20.04.4 (Ubuntu)
Protocol version:   10
Connection:     Localhost via UNIX socket
Server characterset:    utf8mb4
Db     characterset:    utf8mb4
Client characterset:    utf8mb4
Conn.  characterset:    utf8mb4
UNIX socket:        /var/run/mysqld/mysqld.sock
Binary data as:     Hexadecimal
Uptime:         14 min 39 sec

Threads: 2  Questions: 31  Slow queries: 0  Opens: 157  Flush tables: 3  Open tables: 78  Queries per second avg: 0.035
--------------

以前は、デフォルトで「latin1」とかになっていたが、このバージョンでは「UTF8」となっている模様なので、そのままで利用する。

ユーザの作成と削除

ユーザの作成

mysql> create user ユーザ名 identified by 'password';
  • ユーザ名は、'ユーザ名'@'ホスト名'のように表す。ホスト名はMySQLへ接続するホスト名。サーバパソコンの場合はlocalhostとなる。ネットワークアドレスを指定する場合は192.168.1.%などのようにする。
    @以下ホスト名を省略した場合は、'ユーザ名'@'%'として扱われ、どのホストからも接続できる。
  • passwordは、パスワード。

ユーザの削除

mysql> drop user ユーザ名;

作成したユーザでMySQLへ接続

$ mysql -u ユーザ名 -p

外部ホストからの接続を許可する

MySQLの設定ファイルを編集し、bind-addressの行をコメントアウトする。

$ sudo nano /etc/mysql/mysql.conf.d/mysqld.cnf
#bind-address = 172.0.0.1

MySQLサービスを再起動

$ sudo service mysql restart

nmapでポートが開いているか確認

$ nmap <IPアドレス>
(結果)

PORT     STATE SERVICE
22/tcp   open  ssh
80/tcp   open  http
3306/tcp open  mysql
【Ubuntu 18.04/16.04 LTS Server】開いてるポートの確認(nmap ポートスキャン)
nmapという、ポートスキャンソフトで確認できる。インストール$ sudo apt install nmapヘルプ表示$ sudo nmap -h使っているTCP/UDPポートを調べる$ sudo nmap -s...

phpMyAdminのインストール

WebブラウザからMySQLサーバを操作できるツール「phpMyAdmin」を使えるようにするには、下記記事を参照。

【Ubuntu 20.04 LTS Server】phpMyAdminをインストール
以前の記事で、MySQLサーバをインストールしたが、WebブラウザからMySQLを操作できるツール「phpMyAdmin」を使えるようにする。尚、MySQL,Apache2とPHP は事前にインストールしておく必要があるので関連記事...
【Ubuntu 20.04 LTS Server】Apache2とPHPを動かす
以前の記事で「Ubuntu 20.04 LTS Server」をインストールした。続いて、WordPressやDokuWikiを動かす準備として、Apache2とPHPを動かすようにしたので備忘録を残す。Apache2のインスト...

補足

  • ユーザ作成で、@以下のホスト名が違うと異なるユーザとして扱われる。
  • mysqlクライアントから入力するコマンドは、基本は大文字/小文字は区別しない。但し、データベース名のみはLinux環境では大文字/小文字は区別される。
  • mysqlクライアントからのコマンドで、最後に;で終わるものはSQL、ないものはmysqlに対するコマンド。
  • データベースの格納先はデフォルトでは/var/lib/mysql/
    /etc/mysql/mysql.conf.d/mysqld.cnfdatadirに指定してある。
  • 外部ホストから許可するのにbind-addressの記述はアドレスのみで、192.168.1.*のようなネットワークアドレスは指定できない。

参考

  1. 6.3.8.8 ソケットピア証明書認証プラグイン – MySQL
  2. Ubuntu18.04にMySQLをインストールする手順
  3. How To Install and Secure phpMyAdmin on Ubuntu 20.04
  4. Ubuntu20.04にmysqlをインストールする
  5. MySQLにパスワードポリシーで怒られるときの回避策
  6. MySQL 8.0 インストール後 メモ

コメント

タイトルとURLをコピーしました