mysql中权限验证与多因素身份认证集成

mysql 8.0+ 原生不支持 MFA，需通过 authentication_pam 插件结合 linux PAM 及第二因素模块（如 pam_google_authenticator.so）实现；配置涉及插件安装、PAM 文件定义、用户认证方式指定、客户端启用明文插件，并注意 SELinux、文件权限与日志对齐等关键细节。

MySQL 8.0+ 原生不支持 MFA，但可通过插件扩展实现

MySQL 本身没有内置的多因素身份认证（MFA）能力，mysql_native_password 和 caching_sha2_password 都只做单因素（密码）验证。真要集成 MFA，必须借助外部认证机制或插件——最常用、官方支持的是 authentication_ldap_sasl 或自定义 PAM 插件，再配合 LDAP/AD 的 MFA 策略（如 Duo、Okta、microsoft Entra ID）。

用 PAM 插件桥接系统级 MFA 是主流落地方式

MySQL 支持通过 authentication_pam 插件将登录请求转发给 Linux PAM 子系统，而 PAM 可配置链式模块（如 pam_duo.so 或 pam_google_authenticator.so），从而在 MySQL 登录时触发第二因素验证。

• 需在 MySQL 服务端安装并启用 authentication_pam 插件：

  INSTALL PLUGIN authentication_pam SONAME 'authentication_pam.so';

• 创建 PAM 配置文件（如 /etc/pam.d/mysql），内容需包含 MFA 模块，例如：

  auth [success=ok default=ignore] pam_google_authenticator.so secret=/var/lib/mysql-google-authenticator/${USER} user=root

• 对应 MySQL 用户必须显式指定使用该插件：

  CREATE USER 'alice'@'%' IDENTifIED WITH authentication_pam AS 'mysql';

• 注意：客户端必须使用 --enable-cleartext-plugin（MySQL 8.0+ 默认禁用明文插件），否则连接会报错 Plugin caching_sha2_password could not be loaded 或 Authentication plugin 'authentication_pam' cannot be loaded

权限验证仍走标准 GRANT 流程，与 MFA 解耦

MFA 只管「你是谁」，不参与「你能做什么」。一旦 PAM 验证通过，MySQL 就按常规流程加载该用户的 mysql.user 表记录，执行权限检查。这意味着：

• GRANT select ON sales.* TO 'alice'@'%'; 这类语句完全不受 MFA 影响，也不需要重写
• 无法在 SQL 层对「是否已通过第二因素」做条件判断（比如不能写 IF(mfa_verified, ..., ...)）
• 审计日志中 mysql.general_log 或 Error.log 只记录「Authentication succeeded」，不标记 MFA 是否触发；需查系统日志（/var/log/secure 或 journalctl -u mysqld）确认第二因素交互细节
• 如果用户同时有多个认证方式（如部分用 PAM、部分用本地密码），权限是叠加的，但登录时只会走其 plugin 字段指定的那个路径

常见失败点：SELinux、socket 权限与插件路径

即使配置全对，生产环境常因底层限制导致 PAM 链路中断：

• SELinux 默认阻止 mysqld 访问 PAM 模块和 Google Authenticator 密钥文件，需手动放行：

  setsebool -P mysqld_can_network_connect_db 1
  semanage fcontext -a -t pam_var_run_t "/var/lib/mysql-google-authenticator(/.*)?"
  restorecon -Rv /var/lib/mysql-google-authenticator

• MySQL 进程以 mysql 用户运行，但 PAM 模块可能尝试读取 /root/.google_authenticator ——必须确保密钥文件属主为 mysql，且路径在 secure_path 范围内
• authentication_pam 插件依赖 libpam.so，若 MySQL 是从源码编译或非标准包安装，可能找不到动态库，启动时报错 Can't load plugin: plugin 'authentication_pam'
• 客户端若用 MySQL Shell 连接，需显式指定：

  mysqlsh --sql -u alice --plugin-authentication-pam-service-name=mysql

真正难的不是配通 MFA，而是让 PAM 日志、MySQL 错误日志、系统审计日志三者能对上同一笔登录事件——密钥路径、用户映射规则、SELinux 上下文，漏掉一个就卡在 silent failure 上。