6 messages in com.mysql.lists.mysql-deRE: port schliessen| From | Sent On | Attachments |
|---|---|---|
| robert | 23 Dec 2003 01:26 | |
| Felix Ostmann | 23 Dec 2003 02:19 | |
| Technik via echtwahr.com | 23 Dec 2003 02:23 | |
| Johannes Franken | 23 Dec 2003 02:55 | |
| Ralf Geschke | 23 Dec 2003 03:43 | |
| Beck, Mike | 23 Dec 2003 06:03 |
| Subject: | RE: port schliessen |
|---|---|
| From: | Beck, Mike (mike...@ibmiller.de) |
| Date: | 12/23/2003 06:03:19 AM |
| List: | com.mysql.lists.mysql-de |
Ralf Geschke wrote:
Hallo !
Wenn Du in die [mysqld]-Sektion der /etc/my.cnf die Zeile "skip-networking" hinzufuegst, nimmt mysqld ab seinem nachsten Start nur noch Verbindungen über Unix-domain-sockets (Windows: Named-pipes), aber nicht mehr ueber TCP entgegen. Das ist die Standardeinstellung bei einigen Distributionen.
Ist richtig, aber genau aus dem Grund mitunter nicht erwuenscht.
Alternative: bind-address=127.0.0.1
in die my.cnf eintragen und somit dafuer zu sorgen, dass der MySQL-Server nicht mehr an allen bzw. den echten, von aussen erreichbaren IP-Adressen des Rechners lauscht.
Alternativ oder zusaetzlich koenntest Du mit Firewallregeln (z.B. iptables) alle nicht vorgesehenen ip-Zugriffe auf den Server sperren.
Alternativ wuerde ich das nicht machen, sondern allenfalls zusaetzlich. Und es ist besser, erst gar keine Angriffsflaeche zu bieten als jene nur mit Mauern zu umschliessen.
Also idealerweise natürlich beides - skip-networking in der my.cnf ist sicherlich erst mal sicherer als 'nur' bind-address=127.0.0.1. Solange man selbst nur von php aus drauf zugreifen will, führt das auch nicht zu Problemen. Wenn man noch von irgendwas anderem auf drauf zugreifen möchte, kann es sein, dass man networking nicht abschalten kann, sondern nur soweit einschränken, dass es halt nur auf 127.0.0.1 horcht. Da gebe ich Dir sofort Recht, dass das sicherer ist, als nur per Firewall den Zugriff einzuschränken.
Ich würde das 'allenfalls zusätzlich' aber auch net so stehen lassen wollen - mit einem gesunden Mindestmass an Paranoia sollte es zumindest eine Firewallregel geben, die festlegt, dass alle von aussen kommenden Pakete mit einer internen ip gedroppt werden. Beispiel: (Pakete kommen von aussen über Netzwerschnittstelle ppp0 rein:) /sbin/iptables -A block -i ppp0 -s 127.0.0.1/8 -j DROP ...
-- Mike Beck mike...@users.sourceforge.net