Какие порты должны быть открыты в идеале?

Question

[Twitt]

Решил посмотреть открытые порты через nmap на своем vps. Вижу, например:

3306/tcp open mysql

Вот не совсем знаю, должен ли быть открыт порт mysql.
Потому что, например, тем же nmap я посылаю запрос на другой сервер, и там mysql вообще не показывается в списке портов (хотя на том сервере он есть). Там показываются только открытые порты 80 и 443.
Собственно вопрос: какие порты должны быть открыты в идеале? если я закрою порт mysql, я смогу подключаться к нему только из своей VPS? Со своего айпи адреса я уже не смогу подключиться к бд, правильно понимаю?

Comments

[Karpion]

Есть три варианта для каждого сервиса, работающего на сервере:

1. Сервис д.б. доступен только для программ, работающих на этом же сервере. Этот сервис должен слушать только IP-адрес localhost 127.0.0.1, а его порт лучше закрыть от внешнего доступа.
   
2. Сервис д.б. доступен с некоторых машин снаружи, для остальных этого не нужно. Этот сервис должен слушать внешний IP-адрес, а доступ со списка IP-адресов следует ограничить средствами и сервиса, и firewall'а.
   Либо, ещё лучше - давать доступ через VPN/SSh-туннель. Сервис должен слушать IP-адрес, выделенный туннелю.
   
3. Сервис д.б. доступен отовсюду (обычно - Web-сервер; реже - FTP-сервер). Тогда сервис должен слушать внешний адрес, а порт д.б. открыт для всех.
   

Зачем Вам там mysql, какие у Вас на него планы - я не знаю. Как правило, он работает по первой схеме; изредка - по второй (то про "со своего айпи адреса {..} подключиться к бд"); и практически никогда - по третьей.

Answer 1

[xmoonlight]

Во вне - не должен!
Закройте биндовку на внешний интерфейс!
Оставьте биндовку только на "локальную петлю" (localloop) интерфейс: localhost/127.0.01

Comments

[Twitt]

к сожалению, я слабоват в информационной безопасности, правильно ли я понял ваш месседж:
мне нужно оставить mysql порт открытым только для localhost/127.0.0.1?

[xmoonlight]

Twitt, отвязать порт от 0.0.0.0 (это означает все доступные интерфейсы в IPv4) и всех других, а привязать ТОЛЬКО! к 127.0.0.1.
Это можно сделать установив, например, phpmyadmin.

Answer 2

[Роман Молчанов]

Какие порты открывать, а какие нет - зависит от того, что запущено на сервере и как Вы к нему подключаетесь.
Если это веб-сайт на линуксе с доступом по ssh, то очевидно нужны порты http/https и ssh (80/443, 22 по дефолту).
Если к серверу подключение происходит только через консоль хостинга, то 22 порт тоже скорее всего не нужен.
3306 нужен для удалённого управления базами данных, если не используете какой-нибудь MySQL Workbench или phpMyAdmin, запущенное на другом узле, то 3306 можно закрыть.

Comments

[Twitt]

3306 нужен для удалённого управления базами данных, если не используете какой-нибудь MySQL Workbench или phpMyAdmin, запущенное на другом узле, то 3306 можно закрыть.

Я подключаюсь со своей локальной машины (так скажем через MySQL Workbench). Если я закрою сейчас порт mysql, то подключаться со своей локальной машины так я уже не смогу, верно? придется подключаться на vps и уже там играться с базой, верно?

[Роман Молчанов]

Twitt, верно

[xmoonlight]

Twitt, для этого существует SSH. Вы можете прокинуть порт на свой ПК, на котором работаете и подключаться из софта уже к своему локальному (замэпленному) произвольному порту.
Кратко, схемка:
ваш_сервер: localhost:3306 -> SSH-tunnel:SRC -> INET -> SSH-tunnel:DST -> LISTENER: 127.0.0.1:произвольный_порт (на него будете подключаться, после установки SSH-туннеля)

Answer 3

[CityCat4]

Вот не совсем знаю, должен ли быть открыт порт mysql.

Наружу - не должен. Наружу должны торчать только порты, которые обслуживают сервисы, работающие на данногм сервере.

Answer 4

[АртемЪ]

Какие порты должны быть открыты в идеале?

Все, которые вам нужны, и закрыты все которые вам не нужны.

Вот не совсем знаю, должен ли быть открыт порт mysql

Значит у вас явно не хватает квалификации для настройки файервола. Эту задачу должен выполнять системный администратор.