Strona 1 z 1

zabezpeczenie firewallem bazy mysql wystawionej do internetu

: 19 lutego 2015, 10:18
autor: edgar5
Witam

1 .W zwiazku z licznymi atakami na mysql , chciałbym zabezpieczyc ja na iptables tak aby tylko adresy z zakresu np: 212.23.24.xxx mogly laczyc sie z portem 3306
Jakie regolki powinno miec iptables (chodzi mi o caly plik konfiguracyjny, nie bardzo orientuje sie w iptables) aby zabezpieczyc w ten sposob baze?

2. Zakladajac ze host ktory sie bedzie laczyl z baza danych ma zmienne IP czy mozna bezpiecznie zrobic cos takiego aby host co pewien czas np ftp wysylal plik textowy ze swoim IP , nastepnie cron na serwerze ze baza myslq podmieni konfiguracje iptables z uwzglednieniem nowego adresu Ip hosta i przeladuje iptables?

3. w jaki najbezpieczniejszy sposob moznaby przeslac zawartosc takiego pliku z IP ? obecnie mam ssh i vsftpd ? Jakie najbezpieczniejsze techniki mozna tu wykorzystac aby nikt nie "podsluchal" zawartosci wysylanego pliku?

: 19 marca 2015, 14:36
autor: redgrist
1 .W zwiazku z licznymi atakami na mysql , chciałbym zabezpieczyc ja na iptables tak aby tylko adresy z zakresu np: 212.23.24.xxx mogly laczyc sie z portem 3306
Jakie regolki powinno miec iptables (chodzi mi o caly plik konfiguracyjny, nie bardzo orientuje sie w iptables) aby zabezpieczyc w ten sposob baze?
Najpierw dajesz:

Kod: Zaznacz cały

iptables -F
iptables -X
iptables -t mangle -F
iptables -t mangle -X

#domyślna polityka DROP
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT


#teraz pozwalasz [color=#333333]212.23.24.xxx na dostęp do 3306[/color]
iptables -A INPUT -p tcp -s [color=#333333]212.23.24.xxx/24[/color] --dport 3306 -j ACCEPT

: 20 marca 2015, 08:22
autor: mariaczi
Nim wykonasz całość jaką podał redgist zapoznaj się dokładnie co robi dana reguła, bo jeśli masz tylko zdalny dostęp do tej maszyny to się odetniesz - stracisz do niej dostęp.
edgar5 pisze: 2. Zakladajac ze host ktory sie bedzie laczyl z baza danych ma zmienne IP czy mozna bezpiecznie zrobic cos takiego aby host co pewien czas np ftp wysylal plik textowy ze swoim IP , nastepnie cron na serwerze ze baza myslq podmieni konfiguracje iptables z uwzglednieniem nowego adresu Ip hosta i przeladuje iptables?
Najsensowniej, to zrób tunel pomiędzy tymi maszynami.

: 20 marca 2015, 08:35
autor: redgrist
Najsensowniej, to zrób tunel pomiędzy tymi maszynami.
Tunel to dobry pomysł, ale szybciej wpisać regułę iptables.

Co do odcięcia się no to fakt... z tym, że ja nie miałem namyśli wklepania reguły bez zastanowienia się. Tylko świadome użycie.
Aby sobie nie odciąć ssh na standardowym porcie:

Kod: Zaznacz cały

iptables -A INPUT -p tcp -s [color=#333333]212.23.24.xxx/24[/color] --dport 22 -j ACCEPT

: 20 marca 2015, 14:38
autor: giaur
Wystarczy odpowiednio skonfigurować bazę, nie potrzeba tu blokowania na iptables.

: 21 marca 2015, 22:20
autor: Yampress
A jak będziesz pod innym IP to nie będziesz mógł sie dostać do ssh? Troche to beznadziejne rozwiązanie. Lepiej zmienić port działania usługi na cztero-pięciocyfrowy zamiast 22. Co od razu wyklucza mase ataków na ssh na standardowym porcie.



Musisz sobie napisac taki skrypt, wykorzystac do tego crona. Do przesyłania plików wykorzystac scp/ssh jeśli chcesz już sie bawić w wysyłanie plików z klonfiguracjami

: 21 marca 2015, 23:16
autor: redgrist
Co do portu 22 na +2 cyfry to zgadzam się i jeszcze możesz użyć hostdeny, ustawiasz, że po 5 nie udanych próbach ma wyciąć IP.