По-умолчанию мускуль ходит по сети безопасно или нет?

0

1

Собственно говоря, если я делаю на дефолтном клиенте mysql -h -u -p на дефолтный сервер (не считая правку bind-address) в Сети, то оно идёт с шифрованием или как?

Спасибо.

Ссылка

←	Максимальное значение порта при пробросе с помощью DNAT

nginx jsessionid

→

нет

Harald ★★★★★
(23.12.15 21:28:16 MSK)

Ответ на: комментарий от Harald 23.12.15 21:28:16 MSK

так... А безопасно может?

targitaj ★★★★★
(23.12.15 21:29:09 MSK) автор топика

Ответ на: комментарий от targitaj 23.12.15 21:29:09 MSK

может, но это надо специально настраивать

по дефолту безопасным оно никак не может быть, даже если TLS соединение включено в конфигах по дефолту (я про такие дистры не знаю), то как минимум надо свои сертификаты устанавливать

Harald ★★★★★
(23.12.15 21:33:36 MSK)

Ответ на: комментарий от Harald 23.12.15 21:33:36 MSK

то есть, удалённый дамп мускуля - это плохая идея? А как же тогда там реплики работают...

targitaj ★★★★★
(23.12.15 21:37:52 MSK) автор топика

mariadb

///thread

bookman900 ★★★★★
(23.12.15 21:38:45 MSK)

Ответ на: комментарий от bookman900 23.12.15 21:38:45 MSK

хм. В смысле, перевезти сервисы с mysql на mariadb?

targitaj ★★★★★
(23.12.15 21:40:49 MSK) автор топика

Ответ на: комментарий от bookman900 23.12.15 21:38:45 MSK

И что это даст?

MrClon ★★★★★
(23.12.15 22:08:35 MSK)

Ссылка

Ответ на: комментарий от targitaj 23.12.15 21:37:52 MSK

Работают исходя из предположения что в (доверенной) сети нет человека-по-середине, или принимая соответствующие риски, или шифруя трафик средствами мускуля (или стороннего ПО).
На сколько я понимаю в полдавляющем большинстве случаев этим просто не заморачиваются.

MrClon ★★★★★
(23.12.15 22:11:07 MSK)

Ссылка

man ssh

anonymous
(23.12.15 22:24:55 MSK)

Ссылка

Ответ на: комментарий от targitaj 23.12.15 21:40:49 MSK

ЕМНИП в марии есть прокачка безопасных подсоединений

bookman900 ★★★★★
(23.12.15 22:32:46 MSK)

Ответ на: комментарий от targitaj 23.12.15 21:29:09 MSK

Всегда можно банальный проброс порта через SSH сделать. Ну или VPN организовать, если нужна максимальная производительность.

Вообще есть мнение, что подобные программы не предназначены для публичного выставления и лучше их всегда защищать хотя бы фаерволом.

~~Legioner~~ ★★★★★
(24.12.15 00:22:00 MSK)

Ответ на: комментарий от Legioner 24.12.15 00:22:00 MSK

в курсе, спасибо.

targitaj ★★★★★
(24.12.15 00:28:07 MSK) автор топика

Ссылка

SSH туннель по идее должен помочь.

sT331h0rs3 ★★★★★
(24.12.15 08:20:15 MSK)

Ссылка

Ответ на: комментарий от bookman900 23.12.15 22:32:46 MSK

в марии есть прокачка безопасных подсоединений

Во всех дистрибутивах и форках mysql есть поддержка TLSv1. Чтобы не было проблем с puddle надо использовать свежий mysql релиз или старше 5.7.10 https://bugs.mysql.com/bug.php?id=71314 или марию 10.0.15 и старше https://mariadb.com/kb/en/mariadb/mariadb-10015-release-notes/

настройка везде одинаковая:

https://www.percona.com/blog/2013/06/22/setting-up-mysql-ssl-and-secure-conne...

MySQL часто используют как - соединились выполнили запрос и отвалились. SSL медленно работает на соединение, поэтому если это проблема надо использовать шифрование только для удалённых клиентов или через vpn.

Для бекапа/поднятия реплики обычно делают бекап локально (база короче всего по времени напряжена бекапом) и копируют через rsync/scp или сразу через пайп в ssh отправляют на удалённый сервер.

anonymous
(24.12.15 08:32:12 MSK)

Ссылка

На сколько я знаю все передается в открытом виде, кроме пароля. И пароль не просто хэш, а хэш с солью

anonymous
(24.12.15 11:59:25 MSK)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	Максимальное значение порта при пробросе с помощью DNAT

Admin

nginx jsessionid

→

Похожие темы