mysql nyitott port

Adatbázis: SQL, XML DB

Sziasztok!

Először is Kellemes ünnepeket mindenkinek!

Bocsi a valszeg buta kérdésért. Arról van szó hogy van egy lamp környezet, ahol a mysql lekérdezéseket php script végzi, mysql adatbázist kívülről nem kívánom elérni, max úgy hogy ssh-val bejelentkezem.
Ha portscan-t futtatok akkor a mysql portja (3306‎ asszem) open statuszba van. ez normális?
Akkor is nyitottnak kell lenni ha localhost a php interpreter kérdez tőle?
A mysql configjába tudom hogy be lehet állítani hogy csak localhoston listeningeljen de attól még az nyitott port lesz nem?

  • 2131 megtekintés

( uid_194 | 2011. 04. 24., v – 14:12 )

Ha localhostra allitod mysql configban, akkor csak localon lesz nyitott, kivulrol nem. De ha csak localhoston ered el, akkor akar unix socketre is lehet allitani, es akkor egyatalan nincs nyitott portja (csak egy socketfile a filerendszeren valahol, pl /var/run/mysqld.sock vagy hasonlo).

--
|8]

( STP | 2011. 04. 24., v – 14:12 )

esetleg tűzfal beállítás?

ha akarod spékelheted azzal, hogy a mysql felhasználó(k) csak localhost-on érheti(k) el a szervert

(mindkettő intenzíven ajánlott.)

( magyarver | 2011. 04. 24., v – 14:15 )

Utánanézek, köszönöm a hozzászólásokat.

( tibyke | 2011. 04. 24., v – 16:04 )

google://bind_address skip-networking

t

( subchee | 2011. 04. 24., v – 16:39 )

>>Ha portscan-t futtatok akkor a mysql portja (3306‎ asszem) open statuszba van. ez normális?
A legegyszerűbben úgy tudod meg, hogy tényleg nyitott -e a port, ha egy másik gépről megpróbálsz betelnetezni rá. 

telnet szervercíme 3306

. Ha beenged, akkor tényleg nyitott, ha timeout -ol, akkor nem. Megoldás: ahogy fent is írták unix socket használata (ez a javasolt) vagy csak localhoston hallgatni a 3306 -os portnak (+ a biztonság kedvéért a tűzfalnak is lehet mondani, hogy az erre a portra érkező kéréseket dobálja el).

Nem értem mi ez a port hiszti.

Ha be van állítva, illetve az alapértelmezett ha jól tudom az hogy nincs hálózati elérése, akkor eleve senki nem tud belépni kintről.

Ha van egy nyitott port a gépeden az, még nem jelenti azt, hogy sebezhető. Millió port nyitva lehet, akkor sem tudnak vele igazán mit csinálni. Max terhelik kívülről. pl ott a 22-es port ami 99% -ban SSh, és az emberek többsége lustaságból úgy is hagyja. Az egy támadási lehetőség, ha birka jelszót használsz. De az esetek többségében csak a filmeken törnek fel 3 perc alatt egy számítógépet villogó forgó kockák ábrázolásával.

Biztos, hogy a kreténség beszél belőlem, de ha tisztában vagy azzal, milyen programok futnak a gépeden nagy zűr nem lehet.
Érdemes odafigyelni
- webserverek
- ssh, telnet stb
- csevegő kliensek
- és a repóban megadott elérésekhez.

Le kell szokni a mindent felrámolok azt se tudom mi az hozzáállásról.

Az sql adatbázisba való belépés kockázatai pedig csökkenthetőek:

- nem engeded a távoli root belépést
- a usereket ha teheted ip-hez kötöd
- odafigyelsz arra, hogy egy user ne férhessen hozzá csak a saját adataihoz.

Ezek figyelembevételével, illetve azzal, hogy valószínűleg nem Te vagyol a Nemzeti Bank ha nem is lehetetlen a behatolás, de valószínűleg nem éri meg a ráfordított energiát... Bocsi ha hosszú voltam, illetve nem flame-nek szántam.

Sok csunya dolgot lehet tenni. Sokkal jobb tanacs lett volna az, hogy inkabb ne nyisson meg portot kifele, ha nem tudja, hogy az mivel jar.

A legtobb programnal - mysqlnel is - gond nelkul meg lehet mondani, hogy milyen IP-n figyeljen, vagy - esetunkben pl - azt is, hogy egyatalan semilyenen, csinaljon egy unix socketet, es onnantol tavoli tamadastol adott service ellen tenyleg nem kell tartani.

--
|8]

Ahogy írtam az alapeset, a localhost....

Illetve szerintem írtam a végén pár hasznos dolgot, ha egyszer ki kell nyitni a rendszert.
Nem véletlenül...
Szóval lehet, hogy érdemes lett volna tovább is olvasni....

Azzal mondjuk végtelen módon egyetértek veled, hogy a legnagyobb veszélyt, az okozza, ha olyat teszünk ami nem tudjuk mivel jár. Egyébként ezt is leírtam...

Node ha elolvasod az eredeti kerdest, az volt a problemaja, hogy kivulrol is elerte a mysqlt. Innentol barmit irsz, ami abbol indul ki, hogy hagyd defaulton mert az nem baj, irrelevans, mert nem defaulton van. Felesleges arrol szonokolni, hogy mikent kell megvedeni egy nyitott porton levo szolgaltatast, ha a kerdes az, hogy egyatalan nyitva kell-e legyen (nem, nem kell).

Azzal fejezni be a hozzaszolasod, hogy, idezek:

Ezek figyelembevételével, illetve azzal, hogy valószínűleg nem Te vagyol a Nemzeti Bank ha nem is lehetetlen a behatolás, de valószínűleg nem éri meg a ráfordított energiát... Bocsi ha hosszú voltam, illetve nem flame-nek szántam.

A legrosszabb tanacs amit barkinek adhatsz. Ennek fenyeben aki nem olvasott az elso sornal tovabb, sokkal jobban jart, mint az aki vegigolvasta. Tovabba ennek fenyeben a kozepet sem olvasom el, mert aki ilyen butasagot ir a vegere, annak a velemenyere egesz pontosan semmit nem adok.

--
|8]