你们的 mysql 数据库配置 ssl 加密了吗

默认不启用。连接远程服务器时，我是开启的。

MySQL 在内网，不对外暴露端口
如果要远程访问，先建立 SSH 隧道进内网，然后还是内网访问，SSH 已经加密通讯了

宝塔直接梭，没关注过

倒是连接认证的的时候使用的是`caching_sha2_password `

都内网跑的，不启用 SSL

才发现，mysql 的默认机制，已经帮用户避免了很多安全问题，默认是远程无法访问的，要么你手动配置，要么使用 ssh 进行连接

@renfei 大佬，使用 ssh 隧道是不是不建议用 root 用户，需要创建一个专门用于数据库操作的用户

如果测试环境可以用 ssh ；如果是生产环境不建议用 ssh ，如果需要远程加密隧道，推荐启用 mysql 双向证书认证的 ssl 连接

ssl 是有代价的~ 加解密需要消耗 cpu 资源，生产环境下可能得不偿失

最好是全部走内网，外网走测试的 mysql ，小规模使用的话，ssh 隧道到生产的 mysql

生产环境公网远程直接访问 mysql ，通常建议服务器延时在 10ms 以内，通信能稳定跑到百兆；至少延时在 20ms/十兆带宽。 如果达不到这个指标，做一个 https api 接口为佳。

@RangerWolf #8 目前 cpu 都内置 aes 硬件加密，ssl 消耗的资源极低可以忽略不计的。

dba 一般不管这个吧？加密不加密不是 dba 的事情？

路由器用 vpn 。直接无加密

加密了...因为内扫

@bler #6 建立隧道可以建立一个 nologin 或者 /bin/false 的账户，不能获得 tty ，但是可以做隧道

@yinmin 学习了

不过我估计也要看是谁提供的服务了，普通一个 docker run 跑起来的 mysql ，我认为没有你说的硬件。

不知道如何查看是否有加解密的硬件？

还没用到外网需求，都是单机跑。用不着

@RangerWolf docker 用的是 host 的 CPU ，所以 CPU 支持 AES-NI 指令集就可以了。cat /proc/cpuinfo 看看 flags 那一行有没有“aes”。现在用的 CPU 应该都有。

数据库不应该单独暴露，应该全走内网

用的 RDS ，自带 SSL 加密
不过一直用的 VPC 内网传输，开不开影响都不大吧？