iam_iam23
@iam_iam23
.

Безопасно ли открывать порт mysql в мир?

Добрый день. Имеется веб сервер на OS Ubuntu. На этом сервере в мир смотрит только 80 порт.
На этом сервере 5 сайтов. Для каждого сайта создан свой пользователь в ОС и в базе mysql. mysql сервис слушает только ip 127.0.0.1
Безопасно ли открыть в мир порт 3306 ?
Какие нужно задать права пользователю , к примеру "webuser1" выполнять импорт и экспорт базы mysql?
Это нужно разработчикам, только для одного сайта.
  • Вопрос задан
  • 1164 просмотра
Решения вопроса 1
@remzalp
Программер чего попало на чем попало
Да, небезопасно, альтернативы
1. поднять VPN, доступ к мускулю снаружи только по впн, не напрямую (резать в iptables)

2. (сам использую) пускать разрабов с пробросом портов по ssh. Себе настроил путти (батник):
putty.exe -ssh user@site.ru -L 3396:localhost:3306
в итоге на компе любой удобный и привычный софт можно использовать, указывая в качестве сервера БД
127.0.0.1:3396, со стороны сервера они выглядят как коннекты с localhost
На сервере завести отдельного юзера с минимальнейшими правами - ему даже входить не обязательно в шелл, только до локального сокета достучаться, плюс настроить авторизацию по сертификату для полного удобства.

дополнительный бонус - с использованием ключа "-C" будет еще и компрессия данных, что может приятно повлиять на скорость передачи хорошо сжимаемых данных.
Ответ написан
Пригласить эксперта
Ответы на вопрос 4
iam_not_a_robot
@iam_not_a_robot
В файле my.cnf можно задать список белых внешних ip которые могут общаться с БД на этом сервере, поэтому откройте порт, внесите ip нужных серверов и всё
Ответ написан
открвать н аврешку вообще порты не безопасно.
вариантов несколко
1. пробрось тунель, дабы ssh очень легко кидает тунели на порты.
2. подлечи программистов маловероятен кейс когад им нужен доступ до бд напрямую, скорее они не умеют юзать банальный ssh
3. Открой на внешку с обязательным указанием единственного IP с которого это возможно делать, и соответствено убери как только закончат.
Ответ написан
akalend
@akalend
программирую
я всегда пробрасываю пот через ssh, очень удобно и ни каких заморочек на сервере
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы