почему использование ssh туннелирующий для mysql сервера?
Если Вы используете туннелирование SSH, то Ваш SSH и пароли MySQL оба шифруются во время коммуникации - а также все данные, которые проходят через туннель. Если Вы не используете туннель SSH, и Вы не используете поддержку SSL MySQL, нет никакого шифрования, и злонамеренное третье лицо могло использовать пакетный сниффинг или другие низкие средства подслушать Вашу связь.
Кроме того, при использовании туннелирования SSH затем Вы будете предупреждены, если ключ удаленной машины SSH изменится. Этого не произойдет со стандартным MySQL, означая, что взломщик мог использовать IP-спуфинг или Человека в среднем нападении для разрушения/вмешиваний/подслушивания на связи.
Для получения дополнительной информации см.:
-
1" Если you' ре, не используя туннель SSH нет никакого encrypting" - That' s только верный, если Вы don' t используют SSL ( dev.mysql.com/doc/refman/5.1/en/secure-using-ssl.html ). – joschi 29 March 2010 в 17:59
-
2Точка взята; ответ обновляется – Josh 29 March 2010 в 19:43
но я не понял, почему это лучше, чем открытие mysql сервера непосредственно для интернет-порта. причина в так или иначе, хакер мог скот вызывать порт для паролей
Простой ответ - то, что существует культура, которая доверяет SSH, чтобы сделать безопасность лучше, чем MySQL. Сторонник подхода SSH может утверждать, что протокол обмена пароля MySQL был поставлен под угрозу в прошлом, таким образом, лучше полагаться на SSH.
Вы правы, все же. Пароль SSH может быть груб вызванный почти так легко, как пароль MySQL может.
К счастью, SSH поддерживает много методов аутентификации, при этом пароли являются только одним из них. Для интернет-хостов направления я видел, что sys администраторы отключают аутентификацию по паролю полностью, выбирая вместо этого более сильные методы, как аутентификация с открытым ключом. См. RSAAuthentication в sshd_config (5), и также ssh-keygen (1) для получения дополнительной информации об аутентификации с открытым ключом.
Надеюсь, это поможет!
-
1+1 для упоминания ключей SSH и других средств аутентификации - я должен был упомянуть их – Josh 29 March 2010 в 19:46
Я не использовал бы SSH, туннелирующий для трафика приложения, если у Вас нет серьезного основания к. Если выполнение приложения на том же сервере как база данных, необходимо, вероятно, использовать сокет MySQL и отключить сети для MySQL. Это особенно верно, если сервер работает непосредственно в Интернете.
Если у Вас есть несколько серверов, можно использовать SSL исходно в MySQL для шифрования трафика в пути.
Я подозреваю, что Вы обращаетесь к разработчикам в больших средах с помощью SSH, туннелирующего для соединений клиента. Как правило, это было бы то, потому что доступ брандмауэра не предоставляется непосредственно к MySQL, но допускается SSH, где SSH включил бы обходное решение, не увеличивая место MySQL.
Поскольку можно использовать аутентификацию сертификата до автора MySQL.
-
1That' s также возможный с MySQL' s созданный в поддержке SSL: dev.mysql.com/doc/refman/5.1/en/grant.html – joschi 29 March 2010 в 18:03