Лучшая практика для того, чтобы ТОЛЬКО предоставить доступ MySQL к серверу?
Я имел эту проблему и нашел, что решение SpaceManSpiff выключения полностью решило проблему. У меня есть Dell E6400 с Intel Core Duo P9500.
Шаги я следовал:
- Установленный Virtualbox 3.1.0 хоста Windows Vista, Гость Ubuntu
- Виртуальное Поле переходит к Настройкам | Система | Процессоры; установите его на 2 процессора
- Запустите машину
- добрался "VT-x не доступен"
- перезагруженный и F2 для получения до BIOS, включенной
- добрался "VT-x не доступен"
- используемый "securable.exe" из http://www.grc.com/SecurityNow.htm и узнанного VT-x был все еще отключен
- вытащенный слышат, искавший много, нашел регистрацию SpaceManSpiff
- выключенный и вытащил батарею (Не уверенный, если батарея имела какое-либо значение),
- включенный и это работает теперь!
Я так рад наконец иметь два процессора для своей виртуальной машины!
Идеально, для максимальной безопасности, Вы хотите несколько слоев.
Это включает такие вещи как брандмауэр для блокирования всего доступа к сетевым портам (shorewall, довольно легко настроить), а также использующий tcpwrappers (hosts.allow / hosts.deny) для ограничения доступ к различным демонам.
Если Ваш сервер базы данных только получает соединения от данного сервера (со статическим IP), то этот IP мог также использоваться в сочетании с Вашими стандартными конфигурациями брандмауэра, tcwrapper и mysql методами аутентификации дополнительно ограничить доступ далее к только что один сервер.
Своего рода безопасный туннель между серверами был бы идеален, блокировав весь доступ к серверу БД иначе.
Запрещая это, я думаю, что это - прекрасная идея использовать брандмауэр для фильтрации всего нежелательного и нежелательного, даже если это кажется избыточным (например, является ли там текущим демон, слушающий на порте X или не). Одна 'хорошая' вещь о фильтрации всего (через ПОНИЖЕНИЕ netfilter) состоит в том, что это не делает простое сканирование портов TCP быстрым и легким.
Я также не думаю, что это - плохая идея изменить порт по умолчанию для DB, если это должно быть открыто для Интернета. Просто никогда не тешите себя никакими иллюзиями об этом, одном, как 'меры безопасности'.
Эй, попробуйте его/etc/hosts.allowed и/etc/hosts.deny
Добавьте ВСЕ: ВСЕ к хостам отклоняют только Ваш IP и mysqld к hosts.allowed. Читайте больше на:
http://linux.about.com/od/commands/l/blcmdl5_hostsal.htm
Это - самый простой путь.
Ваша конфигурация будет похожа:
/etc/hosts.allow ВСЕ: (Your-Connecting-IP) и/etc/hosts.deny ВСЕ: ВСЕ
добавление localhost к позволенному могло бы быть хорошей идеей tho.
Как лучшая практика необходимо и отключить сервисы, которые не используются и брандмауэр поля. Когда Вы делаете это, Вы применяете принцип защиты подробно. Можно изменить порт по умолчанию для mysql, поскольку это может помочь уменьшить шум в журналах, но это не должно быть единственной вещью, которую Вы делаете.
Если Ваша база данных собирается содержать уязвимую информацию, необходимо рассмотреть использование шифрования для тех данных, хотя я не достаточно знаком с MySql для знания то, что это поддерживает.
Необходимо также проверить вопрос "Сервер MySql, Укрепляющийся" на security.se.