Mysql comment rendre l'acc�s � distance plus s�r!

affaires en ligne afin d'assurer la s�curit� des donn�es, permettent g�n�ralement que MySQL d'acc�s local ou r�seau. Mais dans certains cas particuliers, besoin de MySQL d'acc�s via Internet. Afin de minimiser ce temps pour garantir les droits et l'ouverture, la premi�re chose que deux mesures:

vous avez besoin d'une part pour configurer le pare-feu whitelist

ENTREE iptables -A -s 1.2.3.4 -p tcp -m tcp -dport 3306 -j ACCEPT

D'autre part de restreindre l'acc�s aux utilisateurs IP cr�er MySQL

mysql > �CREATE USER 'testuser'@'1.2.3.4' identified by 'testpass';

Ainsi, cette �tape ne vous pouvez vous asseoir et se d�tendre il? Si oui, cet article sera termin�e. Mais malheureusement, en fait, encore un risque de s�curit�. L'acc�s par d�faut de MySQL est clair, le HTTP plaintext sensibles � la surveillance, une exposition similaire en dehors d�tournement r�seau de communication de MySQL est �galement susceptible d'�tre � l'�coute, l'homme dans les attaques du milieu. Dans ce qui suit un exemple sp�cifique sera d�crit.

Une communication en clair � partir du moniteur ma�tre MySQL

Il existe de nombreux programmes pour parvenir � l'�coute, nous avons adopt� un mode miroir des ports de commutateur contr�le de d�rivation.

La machine est pr�te � �couter xxx.xxx.xxx.83, la machine d'attaque est xxx.xxx.xxx.109.

MySQL lorsque la mise en uvre des principales communications du moniteur de, que ce soit pour surveiller la biblioth�que principale de la biblioth�que ou un effet similaire, o� la biblioth�que principale cas de test d'�coute.

1.1 d�terminer le port d'�coute

Si vous ne savez pas ce qui correspond � deux commutateur port de machines, vous pouvez vous connecter au commutateur, pinguez vu � travers le cache arp.

Apr�s le port de ping peut �tre d�termin�e par le cache arp

Enfin, � savoir le port source est d�termin�e xxx.xxx.xxx.83 de g0 / 15, � savoir xxx.xxx.xxx.109 g0 en miroir de port de destination / 1.

1.2 Configuration du port Mirroring

L'acc�s au commutateur n'est pas configur� pour d�marrer la mise en miroir

< H3C > dis mir Le port du moniteur n'a pas �t� configur�! < H3C > sys Mot de passe: ************ Entrer vue du syst�me, revenir � la vue de l'utilisateur avec Ctrl + Z.

Et l'objet image miroir sont dispos�s en miroir des ports

moniteur ports G0 / 1 Succeed! Le port du moniteur a �t� sp�cifi� comme port de tronc et la pvid chang�. g0 / 15 port en miroir dis mir Surveiller port: GigabitEthernet0 / 1 Mirroring-Port: GigabitEthernet0 / 15 q < H3C > sauver Cela permettra d'�conomiser la configuration dans la m�moire EEPROM �tes-vous s�r? y Maintenant sauver la configuration actuelle � la m�moire EEPROM S'il vous pla�t attendre pendant un certain temps ... Configuration actuelle enregistr�e dans la m�moire EEPROM avec succ�s

1,3 �coute de communications de texte en clair-ma�tre-esclave

Ex�cut� dans la machine d'�coute active xxx.xxx.xxx.109

h�te tcpdump xxx.xxx.xxx.83 -i eth0 -w hello.dump

xxx.xxx.xxx.83 configur� biblioth�que principale de MySQL, un autre dispos� � l'ext�rieur de la machine de base de donn�es r�seau xxx.xxx.xxx.104 MySQL. Et la configuration ma�tre-esclave est pas le cryptage SSL. Test utiliser avec succ�s xxx.xxx.xxx.109 �couter communication ma�tre-esclave MySQL.

La figure ci-dessous montre la connexion de compte MySQL contr�l�, vous pouvez obtenir le nom d'utilisateur et le cryptage du mot de passe:

Pour le mot de passe de MySQL simple, vous pouvez facilement d�chiffr� par CMD5 plaintext autres sites:

La figure suivante illustre les donn�es surveill�es du ma�tre:

On peut voir dans le cas express�ment la communication ma�tre MySQL, l'�coute clandestine peut �tre efficace.

Commutateur de port mirroring est utilis� ici besoin commutateur d'autorisation, un certain degr� de r�alisation de difficult�. Mais en dehors de la communication r�seau, l'environnement r�seau r�el est tr�s complexe et hors de notre contr�le, la communication de texte clair est encore un risque potentiel de s�curit�.

2 acc�s au serveur de s�curit�

Alors, comment assurer un acc�s s�curis� � MySQL en dehors de la communication r�seau entre le serveur? Voici quelques sc�narios communs.

2.1 tunnel crypt�

Des donn�es r�seau crypt� tunnel client peut chiffrer, r�duire D�crypter apr�s, puis transf�r�s en toute s�curit� sur le serveur. Pour exemple stunnel:

Tout d'abord, le port d'�coute du client 3306, et �tablir une communication crypt�e, une connexion � distance 1.2.4.5:8000

/usr/local/stunnel/etc/stunnelclient.confsslVersion = TLSv1 CAFile = /usr/local/stunnel/etc/ca-cert.pem cert = /usr/local/stunnel/etc/clientcert.pem key = /usr/local/stunnel/etc/clientkey.pem = accepter 127.0.0.1:3306 connect = 1.2.4.5: 8000

Le serveur �coute sur le port 8000, et transmis � la machine apr�s le port de donn�es d�crypt�e 3306

/usr/local/stunnel/etc/stunnelserver.conf

changer sslVersion = TLSv1

CAFile = /usr/local/stunnel/etc/ca-cert.pem

cert = /usr/local/stunnel/etc/servercert.pem

key = /usr/local/stunnel/etc/serverkey.pem

accept = 8000

connect = 127.0.0.1: 3306

De cette fa�on, le client peut effectivement acc�der au port local 3306 au port 3306 sur l'acc�s � distance 1.2.4.5 de la machine pour obtenir l'acc�s � distance de MySQL via le tunnel crypt�.

Avantages: pas besoin de cr�er un compte distinct en dehors du r�seau de MySQL, l'acc�s local transparent.

Inconv�nients: ne peut r�aliser le chiffrement du client pour acc�der au c�t� service, le besoin d'entretien suppl�mentaire crypt� tunnel de service.

2.2 VPN

VPN en dehors de la communication r�seau peut �tre transform� en une communication r�seau interne virtuel directement adresse d'acc�s extranet probl�mes de s�curit�. Pour exemple OPENVPN:

Dans un c�t� du serveur de g�n�ration du serveur, configurer le segment de r�seau interne

/etc/openvpn/server.confport 1194 proto tcp-serveur dev tap # Certificat li�s ca /etc/openvpn/ca-cert.pem cert /etc/openvpn/server.pem /etc/openvpn/server.key cl� dh /etc/openvpn/dh.pem # Utilisation finale de l'adresse indiqu�e serveur ifconfig 192.168.10.1255.255.255.0 # Sp�cifiez le client IP client-config-dir / etc / openvpn / ccd

De l'autre c�t� du serveur client mis en place, lancer des liens VPN

/etc/openvpn/client.conf client dev tap proto tcp-client � distance 1.2.3.41194 # Certificat li�s ca /etc/openvpn/ca-cert.pem cert /etc/openvpn/client1-cert.pem /etc/openvpn/client1-key.pem cl�

De cette fa�on, les deux parties ont cr�� un serveur virtuel sur le r�seau, vous pouvez acc�der � l'autre de MySQL ou d'autres services.

Plus: les deux parties peuvent communiquer entre eux, et non limit� � l'acc�s � un port, en particulier pour le r�seau d'interfonctionnement salle de machine distante.

Inconv�nients: le besoin d'entretien suppl�mentaire service VPN.

2.3 MySQL SSL

En plus d'�tablir un tunnel chiffr�, r�seau virtuel crypt�, vous pouvez en utilisant le cryptage SSL MySQL directement acc�s.

2.3.1 g�n�ration de certificat SSL

V�rifiez d'abord si SSL de support MySQL.

Si la sortie ci-dessus, le support MySQL explication SSL mais pas activ�.

certificat SSL est distribu�e une pluralit� de types, dans la pratique, d'utiliser un serveur de certificat ou d'un client en fonction de buts diff�rents.

# Type de serveur de certificats SSL pour le serveur, ou ma�tre de la base de donn�es de la relation ma�tre-esclave ssl-ca = / home / mysql / certs / ca-cert.pem ssl-cert = / home / mysql / certs / server-cert.pem ssl-key = / home / mysql / certs / server-key.pem

# Certificat SSL de type client pour le client (comme un outil de ligne de commande), ou d'une relation ma�tre-esclave de la biblioth�que ssl-ca = / home / mysql / certs / ca-cert.pem ssl-cert = / home / mysql / certs / client-cert.pem ssl-key = / home / mysql / certs / client-key.pem

En outre, afin de faciliter la gestion unifi�e, la m�me machine peut �tre utilis�e pour soutenir le serveur et le type de client certificat SSL unique. Sp�cifiez deux types d'utilisation uniquement en cas de besoin pour g�n�rer un certificat SSL n'est pas sp�cifi� directement ou utilisation.

Une fois configur�, examiner si le protocole SSL est activ�

mysql > �SHOW VARIABLES LIKE '% ssl%';

Si la sortie du SSL d�crit ci-dessus est pleinement active

2.3.2 exigent SSL et n�cessitent X509

Afin d'assurer l'acc�s au r�seau externe utilise des utilisateurs de MySQL cryptage SSL, lors de la g�n�ration, l'utilisateur peut forcer le SSL EXIGER ou EXIGER X509:

mysql > �CREATE USER 'testuser'@'1.2.3.4' identified by 'testpass' SSL EXIGER; mysql > �CREATE USER 'testuser'@'1.2.3.4' identified by 'testpass' require X509;

La diff�rence est que, SSL ne n�cessite que EXIGER le client de pr�ciser l'utilisation du certificat de serveur de validation du certificat ca, le serveur requiert �galement EXIGER X509 authentification de certificat client. Afin d'�viter les attaques d'interm�diaires, afin d'assurer une communication plus s�curis�e, est g�n�ralement recommand� d'utiliser EXIGENT X509.

2.3.3 OpenSSL et yaSSL

MySQL peut utiliser sa propre biblioth�que yaSSL communication crypt�e, il peut �tre utilis� pour OpenSSL de communication crypt�e. param�tres STRING: besoins de WITH_SSL � pr�ciser au moment de la compilation que l'utilisation sp�cifique:

fourni (utilisation yaSSL), oui (pr�f�rez biblioth�que os si elle est pr�sente, sinon l'utilisation empaquet�), syst�me (Utiliser biblioth�que d'os), < / Chemin / vers / custom / montage >

Pour une meilleure s�curit�, vous pouvez utiliser le syst�me est livr� avec OpenSSL et en temps opportun yum / mise � jour apt.

Si l'on consid�re la compatibilit� des diff�rentes versions, il est recommand� d'utiliser le haut-yaSSL.

Par exemple, OpenSSL a �t� pour la vuln�rabilit� CVE-2015-4000 dans l'am�lioration minimale touche DH � 768 bits, alors que certaines anciennes versions de cl� DH MySQL utilise 512 bits. �tant donn� que l'algorithme de cryptage SSL par d�faut MySQL DHE-RSA-AES256-SHA, si vous utilisez OpenSSL MySQL et l'acc�s entre les diff�rentes versions peut appara�tre erreur 2026 erreur.

2.3.4 surveilleront sur la base de la communication du ma�tre SSL

Apr�s avoir configur� le cryptage SSL, nous avons � nouveau essay� de ramper communication ma�tre-esclave MySQL.

Je l'ai trouv� impossible de se rendre � partir du compte principal de connexion MySQL:

En outre, pris du ma�tre aux donn�es MySQL est tronqu�e:

On peut voir dans le cas de SSL crypt�, ne peut �tre r�alis� efficacement dans le taraudage principal MySQL.

3 S�curit� d'acc�s local

3.1 tunnel SSH

En g�n�ral, nous avons tous besoin de SSH pour acc�der � un serveur distant � partir d'un local, vous pouvez �tablir un tunnel SSH port sp�cifique pour acc�der au serveur distant.

Tel qu'il est utilis� fonction de transfert de port SecureCRT (similaire comme mastic), l'orifice d'acheminement locale 3306 au port 3306 dans le serveur:

Si navicat habitu� � utiliser ces outils, vous pouvez utiliser le haut-tunnel SSH (notez que les anciennes versions peuvent convertir une cl� priv�e au format PPK):

3.2 phpmyadmin + HTTPS

Si vous �tes phpmyadmin utilis� de MySQL d'acc�s Web, il vous suffit d'acc�der � une mani�re unifi�e HTTPS:

serveur { �couter 80; server_name phpmyadmin.example.com; # HSTS forc� � utiliser le protocole HTTP vers HTTPS Jump add_header stricte-Transport-s�curit� "max-age = 31536000"; ...... } serveur { �couter 443 ssl HTTP2; server_name phpmyadmin.example.com; # Configurer les certificats de serveur SSL ssl sur; ssl_certificate /etc/letsencrypt/live/phpmyadmin.example.com/fullchain.pem; ssl_certificate_key / etc / letsencrypt / live / phpmyadmin.example.com/privkey.pem; ssl_protocols TLSv1 TLSv1.1 TLSv1.2; ...... }

4 R�sum�

la s�curit� des donn�es MySQL est un tr�s gros probl�me, qui communication s�curis�e en dehors de la passerelle souvent facilement n�glig�. Avec la popularit� et le courant HTTPS / SMTPS / POP3S / IMAPS, et bas� sur une vari�t� de TCP, UDP, programme de communications crypt�es sera de plus en plus appliqu�e aux entreprises en ligne. Dans cet article, quelques-unes des sc�nes entre l'acc�s au serveur MySQL / local aux serveurs plusieurs introduit programme de communications crypt�es, nous esp�rons donner quelques id�es, combin�es � leurs besoins d'acc�s r�el crypt� � l'aide de MySQL.

Route de la soie

Apprenez � conna�tre la Chine

Mysql comment rendre l'acc�s � distance plus s�r!