zabezpeczenie firewallem bazy mysql wystawionej do internetu

Zagadnienia bezpieczeństwa w systemie
edgar5
Posty: 7
Rejestracja: 04 sierpnia 2009, 22:47

zabezpeczenie firewallem bazy mysql wystawionej do internetu

Post autor: edgar5 »

Witam

1 .W zwiazku z licznymi atakami na mysql , chciałbym zabezpieczyc ja na iptables tak aby tylko adresy z zakresu np: 212.23.24.xxx mogly laczyc sie z portem 3306
Jakie regolki powinno miec iptables (chodzi mi o caly plik konfiguracyjny, nie bardzo orientuje sie w iptables) aby zabezpieczyc w ten sposob baze?

2. Zakladajac ze host ktory sie bedzie laczyl z baza danych ma zmienne IP czy mozna bezpiecznie zrobic cos takiego aby host co pewien czas np ftp wysylal plik textowy ze swoim IP , nastepnie cron na serwerze ze baza myslq podmieni konfiguracje iptables z uwzglednieniem nowego adresu Ip hosta i przeladuje iptables?

3. w jaki najbezpieczniejszy sposob moznaby przeslac zawartosc takiego pliku z IP ? obecnie mam ssh i vsftpd ? Jakie najbezpieczniejsze techniki mozna tu wykorzystac aby nikt nie "podsluchal" zawartosci wysylanego pliku?
redgrist
Posty: 64
Rejestracja: 23 kwietnia 2010, 11:19
Lokalizacja: Trójmiasto

Post autor: redgrist »

1 .W zwiazku z licznymi atakami na mysql , chciałbym zabezpieczyc ja na iptables tak aby tylko adresy z zakresu np: 212.23.24.xxx mogly laczyc sie z portem 3306
Jakie regolki powinno miec iptables (chodzi mi o caly plik konfiguracyjny, nie bardzo orientuje sie w iptables) aby zabezpieczyc w ten sposob baze?
Najpierw dajesz:

Kod: Zaznacz cały

iptables -F
iptables -X
iptables -t mangle -F
iptables -t mangle -X

#domyślna polityka DROP
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT


#teraz pozwalasz [color=#333333]212.23.24.xxx na dostęp do 3306[/color]
iptables -A INPUT -p tcp -s [color=#333333]212.23.24.xxx/24[/color] --dport 3306 -j ACCEPT
mariaczi
Member
Posty: 1343
Rejestracja: 08 lutego 2008, 12:58
Lokalizacja: localhost@śląskie

Post autor: mariaczi »

Nim wykonasz całość jaką podał redgist zapoznaj się dokładnie co robi dana reguła, bo jeśli masz tylko zdalny dostęp do tej maszyny to się odetniesz - stracisz do niej dostęp.
edgar5 pisze: 2. Zakladajac ze host ktory sie bedzie laczyl z baza danych ma zmienne IP czy mozna bezpiecznie zrobic cos takiego aby host co pewien czas np ftp wysylal plik textowy ze swoim IP , nastepnie cron na serwerze ze baza myslq podmieni konfiguracje iptables z uwzglednieniem nowego adresu Ip hosta i przeladuje iptables?
Najsensowniej, to zrób tunel pomiędzy tymi maszynami.
redgrist
Posty: 64
Rejestracja: 23 kwietnia 2010, 11:19
Lokalizacja: Trójmiasto

Post autor: redgrist »

Najsensowniej, to zrób tunel pomiędzy tymi maszynami.
Tunel to dobry pomysł, ale szybciej wpisać regułę iptables.

Co do odcięcia się no to fakt... z tym, że ja nie miałem namyśli wklepania reguły bez zastanowienia się. Tylko świadome użycie.
Aby sobie nie odciąć ssh na standardowym porcie:

Kod: Zaznacz cały

iptables -A INPUT -p tcp -s [color=#333333]212.23.24.xxx/24[/color] --dport 22 -j ACCEPT
giaur
Member
Posty: 1915
Rejestracja: 25 maja 2007, 22:16

Post autor: giaur »

Wystarczy odpowiednio skonfigurować bazę, nie potrzeba tu blokowania na iptables.
Awatar użytkownika
Yampress
Administrator
Posty: 6365
Rejestracja: 09 sierpnia 2007, 21:41
Lokalizacja: PL

Post autor: Yampress »

A jak będziesz pod innym IP to nie będziesz mógł sie dostać do ssh? Troche to beznadziejne rozwiązanie. Lepiej zmienić port działania usługi na cztero-pięciocyfrowy zamiast 22. Co od razu wyklucza mase ataków na ssh na standardowym porcie.



Musisz sobie napisac taki skrypt, wykorzystac do tego crona. Do przesyłania plików wykorzystac scp/ssh jeśli chcesz już sie bawić w wysyłanie plików z klonfiguracjami
redgrist
Posty: 64
Rejestracja: 23 kwietnia 2010, 11:19
Lokalizacja: Trójmiasto

Post autor: redgrist »

Co do portu 22 na +2 cyfry to zgadzam się i jeszcze możesz użyć hostdeny, ustawiasz, że po 5 nie udanych próbach ma wyciąć IP.
ODPOWIEDZ