Задать вопрос
iam_iam23
@iam_iam23
.

Безопасно ли открывать порт mysql в мир?

Добрый день. Имеется веб сервер на OS Ubuntu. На этом сервере в мир смотрит только 80 порт.
На этом сервере 5 сайтов. Для каждого сайта создан свой пользователь в ОС и в базе mysql. mysql сервис слушает только ip 127.0.0.1
Безопасно ли открыть в мир порт 3306 ?
Какие нужно задать права пользователю , к примеру "webuser1" выполнять импорт и экспорт базы mysql?
Это нужно разработчикам, только для одного сайта.
  • Вопрос задан
  • 3059 просмотров
Подписаться 2 Оценить Комментировать
Решения вопроса 1
@remzalp
Программер чего попало на чем попало
Да, небезопасно, альтернативы
1. поднять VPN, доступ к мускулю снаружи только по впн, не напрямую (резать в iptables)

2. (сам использую) пускать разрабов с пробросом портов по ssh. Себе настроил путти (батник):
putty.exe -ssh user@site.ru -L 3396:localhost:3306
в итоге на компе любой удобный и привычный софт можно использовать, указывая в качестве сервера БД
127.0.0.1:3396, со стороны сервера они выглядят как коннекты с localhost
На сервере завести отдельного юзера с минимальнейшими правами - ему даже входить не обязательно в шелл, только до локального сокета достучаться, плюс настроить авторизацию по сертификату для полного удобства.

дополнительный бонус - с использованием ключа "-C" будет еще и компрессия данных, что может приятно повлиять на скорость передачи хорошо сжимаемых данных.
Ответ написан
Пригласить эксперта
Ответы на вопрос 4
iam_not_a_robot
@iam_not_a_robot
В файле my.cnf можно задать список белых внешних ip которые могут общаться с БД на этом сервере, поэтому откройте порт, внесите ip нужных серверов и всё
Ответ написан
sivabur
@sivabur
Заблокировали просто так!
Нет
Ответ написан
Комментировать
shambler81
@shambler81 Куратор тега Linux
открвать н аврешку вообще порты не безопасно.
вариантов несколко
1. пробрось тунель, дабы ssh очень легко кидает тунели на порты.
2. подлечи программистов маловероятен кейс когад им нужен доступ до бд напрямую, скорее они не умеют юзать банальный ssh
3. Открой на внешку с обязательным указанием единственного IP с которого это возможно делать, и соответствено убери как только закончат.
Ответ написан
Комментировать
akalend
@akalend
программирую
я всегда пробрасываю пот через ssh, очень удобно и ни каких заморочек на сервере
Ответ написан
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы