MySQL 8.0+ 原生不支持 MFA,但可通过插件扩展实现
MySQL 本身没有内置的多因素身份认证(MFA)能力,
mysql_native_password和
caching_sha2_password都只做单因素(密码)验证。真要集成 MFA,必须借助外部认证机制或插件——最常用、官方支持的是
authentication_ldap_sasl或自定义 PAM 插件,再配合 LDAP/AD 的 MFA 策略(如 Duo、Okta、Microsoft Entra ID)。
用 PAM 插件桥接系统级 MFA 是主流落地方式
MySQL 支持通过
authentication_pam插件将登录请求转发给 Linux PAM 子系统,而 PAM 可配置链式模块(如
pam_duo.so或
pam_google_authenticator.so),从而在 MySQL 登录时触发第二因素验证。 需在 MySQL 服务端安装并启用
authentication_pam插件:
INSTALL PLUGIN authentication_pam SONAME 'authentication_pam.so';创建 PAM 配置文件(如
/etc/pam.d/mysql),内容需包含 MFA 模块,例如:
auth [success=ok default=ignore] pam_google_authenticator.so secret=/var/lib/mysql-google-authenticator/${USER} user=root
对应 MySQL 用户必须显式指定使用该插件:CREATE USER 'alice'@'%' IDENTIFIED WITH authentication_pam AS 'mysql';注意:客户端必须使用
--enable-cleartext-plugin(MySQL 8.0+ 默认禁用明文插件),否则连接会报错
Plugin caching_sha2_password could not be loaded或
Authentication plugin 'authentication_pam' cannot be loaded
权限验证仍走标准 GRANT 流程,与 MFA 解耦
MFA 只管「你是谁」,不参与「你能做什么」。一旦 PAM 验证通过,MySQL 就按常规流程加载该用户的
mysql.user表记录,执行权限检查。这意味着:
GRANT SELECT ON sales.* TO 'alice'@'%';这类语句完全不受 MFA 影响,也不需要重写 无法在 SQL 层对「是否已通过第二因素」做条件判断(比如不能写
IF(mfa_verified, ..., ...)) 审计日志中
mysql.general_log或
error.log只记录「Authentication succeeded」,不标记 MFA 是否触发;需查系统日志(
/var/log/secure或
journalctl -u mysqld)确认第二因素交互细节 如果用户同时有多个认证方式(如部分用 PAM、部分用本地密码),权限是叠加的,但登录时只会走其
plugin字段指定的那个路径
常见失败点:SELinux、socket 权限与插件路径
即使配置全对,生产环境常因底层限制导致 PAM 链路中断:
SELinux 默认阻止 mysqld 访问 PAM 模块和 Google Authenticator 密钥文件,需手动放行:setsebool -P mysqld_can_network_connect_db 1<br>semanage fcontext -a -t pam_var_run_t "/var/lib/mysql-google-authenticator(/.*)?"<br>restorecon -Rv /var/lib/mysql-google-authenticatorMySQL 进程以
mysql用户运行,但 PAM 模块可能尝试读取
/root/.google_authenticator——必须确保密钥文件属主为
mysql,且路径在
secure_path范围内
authentication_pam插件依赖
libpam.so,若 MySQL 是从源码编译或非标准包安装,可能找不到动态库,启动时报错
Can't load plugin: plugin 'authentication_pam'客户端若用 MySQL Shell 连接,需显式指定:
mysqlsh --sql -u alice --plugin-authentication-pam-service-name=mysql
真正难的不是配通 MFA,而是让 PAM 日志、MySQL 错误日志、系统审计日志三者能对上同一笔登录事件——密钥路径、用户映射规则、SELinux 上下文,漏掉一个就卡在 silent failure 上。
