Как безопасно открыть доступ к MySql для разработчиков?

Question

[Антон Шилов]

Здравствуйте.

Есть сервер на centos, доступ к mysql настроен только с localhost, соответственно подключаюсь к mysql через ssh (используя putty). Далее мне предстоит предоставить доступ к mysql ещё паре человек, но им я не могу дать необходимые логин/пароль для подключения к mysql через ssh, всё таки это уже и доступ к серверу. Поэтому возникает вопрос, как наиболее безопасно предоставить новым разработчикам доступ к mysql?

Попробовал просто добавить в etc/my.cnf bind-address = (здесь ip адрес клиента), но после этого mysqld перестал вообще запускаться, пришлось убрать.

MySQL Daemon failed to start.

Видимо я что-то делаю не так, а что не ясно. Может не в этот конфигурационный файл надо добавлять bind-address? Первоначально сервер настраивал другой человек, а изменения теперь делать надо уже мне, поэтому и такие вопросы.

Подскажите решение, будьте добры.

Answer 1

[Григорий]

мне предстоит предоставить доступ к mysql ещё паре человек, но им я не могу дать необходимые логин/пароль для подключения к mysql через ssh, всё таки это уже и доступ к серверу.

1. Вы хотите дать доступ, но не можете дать доступ, потому что таким образом вы дадите доступ?
   
2. Почему у вас доступ к MySQL и к серверу - это одно и то же? У вас пароли у root centos и root mysql одинаковые?
   

По существу. Дайте разрабам отдельный сервер. Если нельзя, то дайте разрабам ограниченную учетку на сервере, чем это плохо? Или разрешите mysql слушать всё, файрволом закройте все, кроме необходимых адресов. Создайте отдельного пользователя для разработчиков, дайте ему необходимые права в базе. У mysql root поставьте доступ только с localhost.

Comments

[Антон Шилов]

1. Вы же поняли вопрос, я хочу дать доступ к mysql не давая при этом доступ к самому серверу, или давая, но сильно ограниченный.
2. Не одно и то же, пароли не одинаковые.

Дать ограниченную учётку, это не плохо ) просто я не знаю как это правильно сделать.

[Григорий]

Siggard: создаете пользователя командой useradd, генерируете простой пароль, отдаете разработчику, тот его меняет. этого достаточно. можно еще в ssh включить авторизацию по RSA, тогда и пароль сообщать пользователям не надо, только публичный ключ попросить.

[Антон Шилов]

Григорий: а разве такой пользователь не сможет залогиниться на сервер через консоль и внести там какие-либо изменения? Вот за что я переживаю.

[Григорий]

Siggard: он залогинится, и будет иметь доступ ко всем командам, разделенный на основании принадлежности пользователя к группам. Обычно только что созданный пользователь почти ничего не может сделать на уровне системы. Так и должно быть. Без пароля пользователя root он все равно ничего не сделает, а напакостить сможет только в своей домашней директории, что страшно только для самого пользователя, а не для работоспособности всего сервера.

Answer 2

[Melkij]

bind-address - это тот адрес, на котором демон будет ждать подключения. Он должен быть присвоен какому-то интерфейсу этого сервера.

Создайте учётки обычных пользователей и отдайте к ним ssh доступ.

Comments

[Антон Шилов]

Не подскажите как правильно создать такую учётную запись?

Answer 3

[Андрей]

Можно в конфиге MySQL сделать bind-address=0.0.0.0, и внутри самого MySQL создать пользователя с доступом с конкретного IP. Либо поднять что-либо вроде phpmyadmin, где запретить рутовый доступ. Обезопасить - назвать папку как-нибудь сложно, чтоб подобрать не могли, или опять же разрешить доступ к этому хосту с определённых IP-адресов в "Allow from ...", если IP статические.
Для разработчиков будет достаточно обоих вариантов.

Answer 4

[Дмитрий Энтелис]

Если это дев сервер - зачем там вообще ограничения на хост подключения?

Comments

[Антон Шилов]

На сервере рабочий проект и доступ необходимо открыть именно к его базе данных

Answer 5

[index0h]

но им я не могу дать необходимые логин/пароль для подключения к mysql через ssh, всё таки это уже и доступ к серверу

Мне жаль вас расстраивать, но MySQL работает по собственному протоколу, который не базируется на ssh.
Все, что вам нужно - дать девам хост, логин, пароль к MySQL. Мускул должен быть виден из вне.

Comments

[AVKor]

ТС несколько коряво выражается.

Мускул должен быть виден из вне.

Совсем необязательно.

user@debian:~$ ssh desktop
Linux desktop 3.16.0-4-amd64 #1 SMP Debian 3.16.7-ckt9-3~deb8u1 (2015-04-24) x86_64

The programs included with the Debian GNU/Linux system are free software;
the exact distribution terms for each program are described in the
individual files in /usr/share/doc/*/copyright.

Debian GNU/Linux comes with ABSOLUTELY NO WARRANTY, to the extent
permitted by applicable law.
No mail.
Last login: Thu May  7 02:10:51 2015
user@desktop:~$ mysql
Welcome to the MySQL monitor.  Commands end with ; or \g.
Your MySQL connection id is 116
Server version: 5.5.43-0+deb8u1 (Debian)

Copyright (c) 2000, 2015, Oracle and/or its affiliates. All rights reserved.

Oracle is a registered trademark of Oracle Corporation and/or its
affiliates. Other names may be trademarks of their respective
owners.

Type 'help;' or '\h' for help. Type '\c' to clear the current input statement.

mysql> SELECT now();
+---------------------+
| now()               |
+---------------------+
| 2015-05-21 14:27:04 |
+---------------------+
1 row in set (0.00 sec)

mysql> Bye
user@desktop:~$ logout
Connection to 192.168.1.2 closed.
user@debian:~$

[index0h]

В вопросе был момент про заперт ssh. Я ж не спорю, можно и через проброс портов.