LINUX.ORG.RU
ФорумAdmin

Возможно ли подключится к мускулу удаленно, если(см. внутри)?

 , , ,


0

1

Есть вопрос по удаленному подключению к мускулу.
Сам не админ, поэтому просьба не пинать сильно...
Итак:
Имеется сервак на цент ос, на нем крутиться один сайт, сайт, понятно, доступен всему миру.

Версия мускул-сервера: 5.5.44 - MySQL Community Server (GPL) by Remi
В бд «mysql» в таблице user где host - везде localhost у всех юзеров, в таблице db где host везде для всех бд стоит localhost.

В конфиге:

[mysqld]
datadir=/var/lib/mysql
socket=/var/lib/mysql/mysql.sock

# Disabling symbolic-links is recommended to prevent assorted security risks
symbolic-links=0

# Settings user and group are ignored when systemd is used (fedora >= 15).
# If you need to run mysqld under a different user or group,
# customize your systemd unit file for mysqld according to the
# instructions in http://fedoraproject.org/wiki/Systemd
user=mysql

# Semisynchronous Replication
# http://dev.mysql.com/doc/refman/5.5/en/replication-semisync.html
# uncomment next line on MASTER
;plugin-load=rpl_semi_sync_master=semisync_master.so
# uncomment next line on SLAVE
;plugin-load=rpl_semi_sync_slave=semisync_slave.so

# Others options for Semisynchronous Replication
;rpl_semi_sync_master_enabled=1
;rpl_semi_sync_master_timeout=10
;rpl_semi_sync_slave_enabled=1

# http://dev.mysql.com/doc/refman/5.5/en/performance-schema.html
;performance_schema

skip_name_resolve=ON
max_allowed_packet=500M

[mysqld_safe]
log-error=/var/log/mysqld.log
pid-file=/var/run/mysqld/mysqld.pid
#
# include all files from the config directory
#
!includedir /etc/my.cnf.d

То есть нет вообще ничего про бинд-адрес.
Выхлоп лога при старте:
................... 160303 13:18:58 InnoDB: 5.5.44 started; log sequence number 1589134
160303 13:18:58 [Note] Server hostname (bind-address): '0.0.0.0'; port: 3306
160303 13:18:58 [Note] - '0.0.0.0' resolves to '0.0.0.0';
160303 13:18:58 [Note] Server socket created on IP: '0.0.0.0'.
....................

Вопрос от нуба -можно ли при текущем конфиге подключиться удаленно к бд(смущает '0.0.0.0' в логе...)?
Хочу добавить в конфиг мускула: bind-address = 127.0.0.1
Даст ли эта добавка гарантированную невозможность подключиться извне?

зачем без необходимости выкатывать бд во внешний мир. если вручную подключаться, ничего не мешает использовать ssh туннель.

anonymous
()
Ответ на: комментарий от PingVin144

Устанавливая skip_networking вы запрещаете сервере работать через какие-бы то ни было TCP/IP соединения. Не важно что у вас там в bind-address. Общаться будете только через сокет.
Опять же, к чему такая паранойя - не понятно :)

znenyegvkby
()
Ответ на: комментарий от PingVin144

Если phpMyAdmin работает через сокет - да. Поставьте и проверьте, долго ли там :) Я с таким дырявым ПО как phpMyAdmin не связывался, и никому бы не советовал.

znenyegvkby
()
Ответ на: комментарий от znenyegvkby

Так пма я недавно совсем обновил + он доступен только по моему ip...

PingVin144
() автор топика
Ответ на: комментарий от PingVin144

Уменьшим паранойю, просто поставим bind-address = 127.0.0.1 и извне не законнектится... Я прав?

Поставьте и посмотрите что слушает mysql-сервер. Now.

znenyegvkby
()
Ответ на: комментарий от PingVin144

Вот еще вам цитата из офф. документации, надеюсь она прояснит ситуацию

If the address is a “regular” IPv4 address (such as 127.0.0.1), the server accepts TCP/IP connections only for that particular IPv4 address.

znenyegvkby
()
Ответ на: комментарий от znenyegvkby

Если адрес «обычный» IPv4-адрес (например, 127.0.0.1), сервер принимает TCP / IP соединения только для этого конкретного адреса IPv4.

Он будет слушать 127.0.0.1

PingVin144
() автор топика
Ответ на: комментарий от PingVin144

Из меня фиговый админ. Попробуй что-то типа

netstat -nlp
Если в выводе Proto - tcp, Local Address - 127.0.0.1:3306 и State - LISTEN, то все окей, насколько я понимаю :D

znenyegvkby
()
Ответ на: комментарий от znenyegvkby
Proto Recv-Q Send-Q Local Address               Foreign Address             State       PID/Program name   
 tcp        0      0 0.0.0.0:3306                0.0.0.0:*                   LISTEN      32513/mysqld 
PingVin144
() автор топика
Ответ на: комментарий от PingVin144

А что, разве не очевидно?=) На Foreign Address я думаю вы не смотрите, вам же пофигу на вопрощающих, или вы еще и их хотите ограничить?=)

znenyegvkby
()
Ответ на: комментарий от PingVin144

Я тоже не админ, от слова совсем. Думаю кто-нибудь даст исчерпывающий ответ. Если простыми словами, то local - адрес/порт вашего устройтва, foreign - адрес/порт любого другого устройства/сетевухи/whatever :D

znenyegvkby
()
Ответ на: комментарий от PingVin144

Ну bind-address вам этого не гарантирует. Если включить паранойя-мод, то он подскажет что есть и другие пути, нежели прямые TCP/IP соединения к mysql-серверу.

znenyegvkby
()
Ответ на: комментарий от PingVin144

локальный адрес - это на каком адресе и порту весит сервер, форегейн - это с каких адресов могут приходить конекты

outsider ★★
()
Ответ на: комментарий от PingVin144

ты бы лучше за ссш побеспокоился, настроил бы ключи, на другой порт бы повесил и т.п. + ломать скорее всего будут через дыру в движке сайта. почитай какие ошибки недавно обнаружили, обнови движок.

outsider ★★
()
Ответ на: комментарий от outsider

тогда висит на локалхосте, а как тогда можно стучаться извне вм? Ведь к локалхосту получается нельзя подключиться снаружи вм...
Вот пхп коннектиться к мускулу-это норм, пых же свой.

PingVin144
() автор топика
Ответ на: комментарий от PingVin144

а что мне за ссш бояться-он же по ключу. а двиг то самописный, его фиг обновишь...

PingVin144
() автор топика
Ответ на: комментарий от outsider

локальный адрес - это на каком адресе и порту весит сервер, форегейн - это с каких адресов могут приходить конекты

тогда с каких адресов могут приходить коннекты на 127.0.0.1? По идее - нем могут с внешних ип чужих.

PingVin144
() автор топика
Ответ на: комментарий от PingVin144

тогда с каких адресов могут приходить коннекты на 127.0.0.1? По идее - нем могут с внешних ип чужих.

да,если слушает локальный - то только с локалки и должны приходить. если у тебя каких-нибудь патов нет или чего другого хитросмаршрутизированного))

outsider ★★
()
Ответ на: комментарий от PingVin144

Теперь он слушает только адрес 127.0.0.1

Попробуй подключись к этому адресу твоего сервера с удаленного хоста.

И да, как тут правильно подсказывают, если у тебя на сервере пхп, то от взлома ничего не спасет.

redixin ★★★★
()
Ответ на: комментарий от PingVin144

А если рассмотреть начальный вариант -там можно было извне подключиться зная пассы?

Нет, проверка проходила на уровне мускула, если подключение было не с локалхоста, то он сбрасывал соединение

outsider ★★
()
Ответ на: комментарий от outsider

а теперь ты сделал так, что запросы не с локалхоста не доходят до мускула

Тогда мускул лишний раз не напряжет систему оно и лучше.

PingVin144
() автор топика
Ответ на: комментарий от PingVin144

До этого в логи часто падало что мускул не может получить чего-то по некоторым ип часто китайским :-)

PingVin144
() автор топика
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.