【MySQL】关于 unauthenticated user 的哲学思考
## 一、现象
在生产环境中我们偶尔会遇到 show processlist;显示 host 为 unauthenticated user 这样的连接,同时伴有数据库服务器层面的 load,sys cpu 较高,或者 thread running 异常。
## 二、分析
类似于校园门卫看到一个陌生的人进入学校,对 TA 提出的哲学式问题:TA 是谁?从哪里来? 要干什么?本文从 IT 技术角度回答这个哲学问题。
TA 是谁?
官方介绍:
unauthenticated user refers to a thread that has become associated with a client connection but for which authentication of the client user has not yet been done。
意即:MySQL有一个线程在处理客户端的连接,但是该客户端还没通过用户验证,show processlist时显示"unauthenticated user"。
从哪里来?
回答这个问题之前,我们先了解 client 端和 MySQL 建立 TCP 连接 (socket 不在讨论范围之内) 的过程,一般客户端建立与 MySQL 的连接分 4 步:
- 客户端发送数据包到 MySQL 服务器,准备建立连接。如果 MySQL 服务器对应的端口没有运行, 则客户端会直接收到报错信息:
ERROR 2003 (HY000): Can’t connect to MySQL server on ‘[host]’ (111)
- MySQL 服务器向客户端响应基本信息 数据库服务器的 ip,port,mysqld version,the thread id,客户端的 host,port 等等,此时连接已经建立但是尚未完成授权。
“When a new client connects to mysqld, mysqld spawns a new thread to handle the request. This thread first checks whether the host name is in the host name cache. If not, the thread attempts to resolve the host name:
The thread takes the IP address and resolves it to a host name (using gethostbyaddr()). It then takes that host name and resolves it back to the IP address (using gethostbyname()) and compares to ensure it is the original IP address.”
实际连接过程是 mysql 分配一个新的线程来处理客户端的连接请求。先检查客户端的 hostname 是否在缓存中,如果不在则对 hostname 解析。先作反向解析客户端 IP –> 客户端的 hostname,然后作客户端的 hostname –> 客户端 IP 的正向解析。如果结果符合,则验证为合法用户允许登录,如果不符合则定义为 "unauthenticated user"。
3. 客户端发送 username/password/ 要访问的 dbname 到 MySQ 数据库服务器。如果客户端由于某些原因在 connect_timeout 规定的时间内没有发送包或者发送错误的包,数据库服务器会断开该连接。
4. 服务器验证并返回验证结果给客户端。如果验证不通过 则通常返回:
ERROR 1045 (28000): Access denied for user ‘user’@‘host’ (using password: [YES/NO])
ok,至此,我们可以知道 TA 来自客户端和 MySQL 服务器建立连接的第二阶段过程中。
要做什么?
显然此类连接是要访问数据库,准备获取数据或者写入数据。但是我们如何规避这样的三无人员的出现呢?
从该问题产生的原因来分析, 主要的解决方法如下:
- 在 /etc/my.cnf 的 [mysqld] 中添加
skip-name-resolve
参数,关闭 mysql 的 dns 反查询,mysql 使用 IP 或者 % 授权。
- 在 /etc/hosts 添加 IP 与主机名对应关系
> 192.168.0.1 xxxx
值得注意的是在我们生产环境中已经为 MySQL 配置了 skip-name-resolve,依然会出现大量 unauthenticated user 的连接时,表明 MySQL 服务器没有为客户端连接请求确认凭证,也就是说 MySQL 无法确认这些连接使用的数据库账号信息,在 wait_timeout 时间之内 MySQL 一直等待这些连接完成。
比如我在某机器上执行
telnet x.x.x.x 3306
目标机器上 MySQL 中执行
mysql>show processlist;
有一个连接显示为 unauthenticated user 。
因此这种现象不一定就是数据库本身的问题,下面这些都有可能产生这种现象:
- 如果由于应用安全问题出现大量数据库探测,出现大量这种未经授权的连接。
- 应用服务压力过大出现线程异常中断导致出现大量异常数据库连接。
- 应用服务到 db 服务器的网络异常,客户端由于某些参数配置不正确致使正常的请求没有在规定时间内发出,MySQL 无法验证连接的有效性。
- MySQL 客户端连接版本问题,验证协议不兼容,尤其注意 old-password 验证方式。
- 数据库服务器的线程处于排队状态,因此可以加大 back_log,增加 MySQL 处理连接请求的能力。
前三种情况要从应用服务器端查看系统的负载或者应用程序的状态,后面两个要从数据库服务器层面来检查系统的状态。
## 三、参考