MySQL主从复制默认明文传输，必须显式启用TLS并严格配置证书、权限与网络隔离才能保障安全。

MySQL 主从复制默认不加密，必须手动启用 TLS

MySQL 主从复制在 5.7+ 默认使用明文传输 binlog 和心跳数据，包括用户名、密码（若用基于账户的复制）、甚至部分 DML 内容。只要网络可被中间人截获（如跨公网、VPC 边界、共享宿主机），凭据和数据就可能泄露。启用 TLS 是唯一能从根本上防止窃听和篡改的方式。

• CHANGE REPLICATION SOURCE TO（8.0.22+）或 CHANGE MASTER TO（旧版）中必须显式指定 MASTER_SSL=1，否则即使服务端配置了证书，客户端（从库）仍会降级走非加密连接
• 主库需启用 require_secure_transport=ON（全局变量），否则仅靠从库设 MASTER_SSL=1 不足以阻止主库接受未加密连接
• 证书验证不能只依赖 MASTER_SSL=1：必须配合 MASTER_SSL_CA（推荐），或至少设 MASTER_SSL_VERIFY_SERVER_CERT=1，否则无法防御 DNS 欺骗或 IP 劫持

正确配置主从 TLS 需要三类证书文件

不是“有证书就行”，而是主从双方角色对证书用途有严格区分。常见错误是复用同一套自签证书，导致握手失败或验证绕过。

• 主库需提供：ssl_cert（服务器证书）、ssl_key（私钥）、ssl_ca（CA 证书，用于验证从库传来的客户端证书，如果启用双向认证）
• 从库需提供：MASTER_SSL_CA（用于验证主库身份）、MASTER_SSL_CERT（可选，仅双向认证时需要）、MASTER_SSL_KEY（同上）
• CA 证书必须相同：主库的 ssl_ca 和从库的 MASTER_SSL_CA 必须指向同一个 PEM 文件，否则 SSL error: certificate verify failed

CHANGE REPLICATION SOURCE TO
  SOURCE_HOST='master.example.com',
  SOURCE_USER='repl',
  SOURCE_PASSWORD='xxx',
  SOURCE_SSL=1,
  SOURCE_SSL_CA='/etc/mysql/ca.pem',
  SOURCE_SSL_CERT='/etc/mysql/client-cert.pem',
  SOURCE_SSL_KEY='/etc/mysql/client-key.pem';

避免用 root 或高权限账号做复制用户

复制账号一旦泄露，攻击者可直接执行 START REPLICA、STOP REPLICA，甚至通过 SHOW BINLOG EVENTS 窥探敏感 SQL。最小权限原则在此尤为关键。

• 创建专用复制用户，仅授予 REPLICATION SLAVE 权限，禁止 REPLICATION CLIENT（除非真需监控主库状态）
• 禁止复用应用账号或管理员账号；不要给复制用户 SELECT 或 INSERT 任意库的权限
• 若使用 MySQL 8.0+，启用 authentication_policy 并强制密码复杂度，同时为复制用户设置 PASSWORD EXPIRE NEVER（避免自动过期中断复制）

CREATE USER 'repl'@'%' REQUIRE SSL;
GRANT REPLICATION SLAVE ON *.* TO 'repl'@'%';
FLUSH PRIVILEGES;

加密之外的关键加固点：网络层与配置隔离

TLS 解决传输加密，但无法防御配置错误、日志泄露或本地提权。真实生产环境出问题，往往卡在这些环节。

• 主从之间禁用 skip-networking，但必须绑定内网 IP（如 bind-address=10.0.1.10），严禁 0.0.0.0 或注释掉该配置
• 从库的 my.cnf 中 server-id 必须唯一且非 1（主库通常为 1），否则可能导致 GTID 冲突或循环复制
• 关闭从库的 log_bin（除非要做级联复制），避免从库意外成为新主库后写入不可信 binlog
• relay_log_info_repository=TABLE 和 master_info_repository=TABLE 必须开启，否则崩溃恢复时可能丢失复制位点，导致重复或跳过事务

复制链路的安全性不取决于某一个开关，而在于 TLS 配置、账号权限、网络暴露面、持久化机制四者的协同。最容易被忽略的是：从库的 MASTER_SSL_CA 路径写错、或证书过期后没更新从库配置，此时复制看似正常运行，实则已退化为明文连接——连错误日志都不会报。

# mysql  # word  # ssl  # ai  # dns  # sql  # select  # Error  # 全局变量  # 循环  # table  # 会报  # 复用  # 的是  # 客户端  # 都不  # 在此  # 就行  # 要做  # 可选  # 要给 

相关栏目： 【 网站优化151355 】 【 网络推广146373 】 【 网络技术251813 】 【 AI营销90571 】

相关推荐： Laravel如何使用Facades（门面）及其工作原理_Laravel门面模式与底层机制  米侠浏览器网页背景异常怎么办 米侠显示修复  Laravel的契約(Contracts)是什么_深入理解Laravel Contracts与依赖倒置  Laravel Eloquent访问器与修改器是什么_Laravel Accessors & Mutators数据处理技巧  LinuxShell函数封装方法_脚本复用设计思路【教程】  Laravel API路由如何设计_Laravel构建RESTful API的路由最佳实践  Laravel怎么实现API接口鉴权_Laravel Sanctum令牌生成与请求验证【教程】  实例解析Array和String方法  Laravel如何自定义分页视图？（Pagination示例）  Laravel怎么在Blade中安全地输出原始HTML内容  ,怎么在广州志愿者网站注册？  香港代理服务器配置指南：高匿IP选择、跨境加速与SEO优化技巧  html5源代码发行怎么设置权限_访问权限控制方法与实践【指南】  html5如何设置样式_HTML5样式设置方法与CSS应用技巧【教程】  详解一款开源免费的.NET文档操作组件DocX（.NET组件介绍之一）  悟空识字如何进行跟读录音_悟空识字开启麦克风权限与录音  如何用景安虚拟主机手机版绑定域名建站？  如何用好域名打造高点击率的自主建站？  JavaScript如何实现类型判断_typeof和instanceof有什么区别  Windows家庭版如何开启组策略(gpedit.msc)？（安装方法）  Laravel中间件如何使用_Laravel自定义中间件实现权限控制  Laravel怎么判断请求类型_Laravel Request isMethod用法  Laravel任务队列怎么用_Laravel Queues异步处理任务提升应用性能  5种Android数据存储方式汇总  如何做网站制作流程,*游戏网站怎么搭建？  Laravel Artisan命令怎么自定义_创建自己的Laravel命令行工具完全指南  网站制作大概多少钱一个,做一个平台网站大概多少钱？  Linux后台任务运行方法_nohup与&使用技巧【技巧】  Bootstrap整体框架之JavaScript插件架构  百度浏览器ai对话怎么关 百度浏览器ai聊天窗口隐藏  Laravel如何与Vue.js集成_Laravel + Vue前后端分离项目搭建指南  JS中使用new Date(str)创建时间对象不兼容firefox和ie的解决方法(两种)  Laravel安装步骤详细教程_Laravel环境搭建指南  Android Socket接口实现即时通讯实例代码  如何将凡科建站内容保存为本地文件？  如何用AI帮你把自己的生活经历写成一个有趣的故事？  个人摄影网站制作流程,摄影爱好者都去什么网站？  如何在云指建站中生成FTP站点？  如何快速搭建自助建站会员专属系统？  Python高阶函数应用_函数作为参数说明【指导】  如何在云虚拟主机上快速搭建个人网站？  Laravel事件监听器怎么写_Laravel Event和Listener使用教程  专业商城网站制作公司有哪些,pi商城官网是哪个？  java获取注册ip实例  PHP正则匹配日期和时间(时间戳转换)的实例代码  如何在建站之星绑定自定义域名？  如何正确选择百度移动适配建站域名？  php485函数参数是什么意思_php485各参数详细说明【介绍】  如何正确下载安装西数主机建站助手？  Laravel如何实现数据库事务？（DB Facade示例）