MySQL 本身不原生支持双因素认证(2FA),但可以通过插件方式结合外部认证机制实现类似功能。最常见的方式是使用 PAM(Pluggable Authentication Modules) 插件配合 Google Authenticator 或其他 OTP(一次性密码)服务来实现双因素认证。
1. 确认系统环境支持 PAM 认证
要启用双因素认证,首先要确保 MySQL 支持 PAM 插件:
MySQL Enterprise Edition 原生支持 PAM 插件。 社区版中某些发行版(如 Percona Server 或 MariaDB)也支持,但标准 MySQL 社区版可能不包含。 操作系统需安装 PAM 开发库,例如在 Ubuntu/Debian 上运行: sudo apt-get install libpam-dev libpam-modules libpam-google-authenticator2. 安装和配置 PAM 模块
编辑或创建 PAM 配置文件以支持 MySQL 的双因素验证:
创建 PAM 配置文件:/etc/pam.d/mysql 添加以下内容启用本地密码 + 一次性验证码: auth required pam_unix.soauth required pam_google_authenticator.so
这表示用户需要先通过系统密码(pam_unix)再输入 Google Authenticator 生成的动态码。
3. 配置 MySQL 使用 PAM 插件
确保 MySQL 已加载 authentication_pam 插件:
登录 MySQL 执行: INSTALL PLUGIN auth_pam SONAME 'auth_pam.so';创建使用 PAM 认证的用户: CREATE USER 'user2fa'@'localhost'
IDENTIFIED WITH auth_pam AS 'mysql';
其中 'mysql' 是 /etc/pam.d/mysql 中定义的服务名。
4. 用户配置 Google Authenticator
为每个需要双因素认证的用户设置 OTP 秘钥:
切换到对应系统用户,运行: google-authenticator 按提示生成二维码,用手机 Google Authenticator 扫描保存。 后续登录时需输入系统密码和动态验证码。5. 测试双因素登录
尝试连接 MySQL:
mysql -u user2fa -p输入密码后,系统会提示输入动态验证码(部分客户端需支持 PAM 交互式输入)。注意:命令行 mysql 客户端可能无法直接处理二次输入,建议在支持 PAM 的环境(如 SSH 登录后本地连接)中使用。
基本上就这些。MySQL 双因素认证依赖操作系统的 PAM 和外部 OTP 工具,配置稍复杂,适合高安全要求的场景。不复杂但容易忽略细节,比如 PAM 服务名匹配、插件是否可用等。
