Безопасно ли открывать порт mysql в мир?

Question

[Vasiliy Adminko]

Добрый день. Имеется веб сервер на OS Ubuntu. На этом сервере в мир смотрит только 80 порт.
На этом сервере 5 сайтов. Для каждого сайта создан свой пользователь в ОС и в базе mysql. mysql сервис слушает только ip 127.0.0.1
Безопасно ли открыть в мир порт 3306 ?
Какие нужно задать права пользователю , к примеру "webuser1" выполнять импорт и экспорт базы mysql?
Это нужно разработчикам, только для одного сайта.

Answer 1

[PrAw]

Да, небезопасно, альтернативы
1. поднять VPN, доступ к мускулю снаружи только по впн, не напрямую (резать в iptables)

2. (сам использую) пускать разрабов с пробросом портов по ssh. Себе настроил путти (батник):
putty.exe -ssh user@site.ru -L 3396:localhost:3306
в итоге на компе любой удобный и привычный софт можно использовать, указывая в качестве сервера БД
127.0.0.1:3396, со стороны сервера они выглядят как коннекты с localhost
На сервере завести отдельного юзера с минимальнейшими правами - ему даже входить не обязательно в шелл, только до локального сокета достучаться, плюс настроить авторизацию по сертификату для полного удобства.

дополнительный бонус - с использованием ключа "-C" будет еще и компрессия данных, что может приятно повлиять на скорость передачи хорошо сжимаемых данных.

Comments

[Павел]

А чем плохо решение, когда на MySQL-сервере настраивается файрволл и открывается доступ только нужным внешним IP на 3306 и 22 портах?

[PrAw]

Павел, на самом деле в этом варианте нет плохого, если Вам принадлежит статический ип адрес.
Просто довольно часто сталкивался с ситуацией, когда требуется через интернет в поездке подключиться к инфраструктуре, SSH выручал всегда, так что про остальные варианты даже и не подумал.

Мой вариант хорош тем, что если слушать только 127.0.0.1, то даже накосячивший в настройках брандмауэра администратор не откроет доступ наружу по случайности.

Answer 2

[Робот]

В файле my.cnf можно задать список белых внешних ip которые могут общаться с БД на этом сервере, поэтому откройте порт, внесите ip нужных серверов и всё

Comments

[Vasiliy Adminko]

Как можно задать список белых внешних ip которые могут общаться с БД?

[Александр]

можно создать удаленного пользователя, который имеет доступ только с определенного ИПишника, но это плохой вариант
можно использовать удаленное ssl+sql соединение - это более лучше, но самое безопасное - как говорили ниже прокинуть ssh тунель

Answer 3

[sivabur]

Нет

Answer 4

[Виктор Таран]

открвать н аврешку вообще порты не безопасно.
вариантов несколко
1. пробрось тунель, дабы ssh очень легко кидает тунели на порты.
2. подлечи программистов маловероятен кейс когад им нужен доступ до бд напрямую, скорее они не умеют юзать банальный ssh
3. Открой на внешку с обязательным указанием единственного IP с которого это возможно делать, и соответствено убери как только закончат.

Answer 5

[Александр]

я всегда пробрасываю пот через ssh, очень удобно и ни каких заморочек на сервере