LINUX.ORG.RU
ФорумAdmin

Можно ли заблокировать доступ к сервису только для определенного ПО?

 ,


0

1

Есть сервер MySQL, к нему подключаются сайты, консольный клиент, но к нему не подключается JDBC коннектор. Причем он успешно подключался и работал до недавнего времени. Пока админ хостера решает проблему, которую видимо сам и заварил, ибо я три часа бился как мог, но там явно что то блочит доступ между коннектором и сервером, хотя все в рамках одной машины, расскажите мне пожалуйста, а как такое сделать то можно? Взять и закрыть порт локального сервиса для определенного ПО? А м.б. я задал очень глупый вопрос?


первый раз вижу такое сообщение.
D-Link DIR-300NRU b7 OpenWrt IGMPPROXY updxy

Вероятно JDBC-коннектор соединяется через TCP-порт (на локалхосте), а остальные соединяются через какой-нибудь Unix domain socket. Соответственно админ либо отключил mysql-server от TCP/IP, либо с фаерволом побаловался.

Legioner ★★★★★
()
Ответ на: комментарий от Legioner

Вероятно JDBC-коннектор соединяется через TCP-порт (на локалхосте), а остальные соединяются через какой-нибудь Unix domain socket.

Либо наоборот и админ переместил unix-сокет или изменил права на него. Остальное ПО работает потому-что берёт настройки из общесистемных конфигов, которые админ отредактировал.

MrClon ★★★★★
()
Ответ на: комментарий от imho_ru

В данный момент там уже открыли порт и все работает, так что не могу телнетом сходить в него, но идея хорошая, запомню.

n0044h
() автор топика
Ответ на: комментарий от Legioner

А если например в PHP скрипте есть коннект к БД, соотв. через localhost, то он все равно будет пытаться идти через юниксовый сокет? И как можно на уровне файрволла такую хитрость организовать, именно для конкретного ПО запретить?

n0044h
() автор топика
Ответ на: комментарий от MrClon

Системные конфиги дефолтные были и юникс-сокет на месте лежал, насчет прав правда не поглядел, но по идее, кроме консольного клиента, все ПО ходит в БД через сеть а не юникс-сокет.

n0044h
() автор топика

Можно заблокировать приложение например по uid/gid пользователя от имени которого запущено приложение (-m owner). Консольная утилита mysql емнип по дефолту всегда через unix сокет взаимодействует с mysqld.

trancefer ★★
()
Ответ на: комментарий от trancefer

iptables -A INPUT -p tcp -m owner --uid-owner mysql -j DROP

ага. Но это имеет смысл только для цепочки INPUT, и следовательно можно только внутри сервера так блокировать приложения.

emulek
()
Ответ на: комментарий от emulek

Так мопед не мой. Просто хотелось знать как местный одмин так нашкодил)))

n0044h
() автор топика
Ответ на: комментарий от emulek

надеюсь ты понимаешь, почему это массово НЕ используется?

Оскорбился. В отличии от тебя я заметил дату публикации, а вот ты выглядишь так, будто повелся.

t184256 ★★★★★
()
Ответ на: комментарий от t184256

В отличии от тебя я заметил дату публикации, а вот ты выглядишь так, будто повелся.

при чём тут дата? 2003й, и что?

emulek
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
первый раз вижу такое сообщение.
Admin
D-Link DIR-300NRU b7 OpenWrt IGMPPROXY updxy