Лог входа в mysql через ssh

Сделай движку сайта свой логин. У тебя всё от рута что-ли ?

Что помешает использовать логин движка сайта что бы залогинится к БД и напакастить?

1. У логина движка сайта не должно быть прав на DDL 2. Не надо раздавать всем пароль от логина движка сайта

1. Это все понятно. Но тут дело не в изменении структуры, а в сохранности данных. 2. Пароль вписан в код к которому имеют доступ программисты. Остальным он и не выдается.

Я думаю для логина сайта запретить все внешние подключения (они и сейчас запрещены). А вот для логина программистов разрешить вход только с ip компании. От туннелирования отказаться.

Хотя на самом деле вы правы, можно подумать о том что бы держать конфиг базы не git, а только на сервере (.gitignore).

1. Если не следить за структурой, то злоумышленник, например, сможет создать триггер, по которому данные будут улетать в другую базу, к которой он имеет доступ. Ну и другие вещи, вроде банального отключения пользовательской аутентификации 2. По идее, можно даже сделать, что бы секреты вообще нигде не хранились в открытом виде так, что даже рут хоста с mysql не будет иметь неограниченного доступа к данным. Но это влечёт за собой другие проблемы (например, бэкап и скорость исправления аппаратных сбоев), стоимость решения которых может быть оправдана только уровнем паранойи вашего босса. А так да, зашивание секретов в исходники плохая практика. Сейчас любая система управления конфигурациями имеет готовые решения для безопасного хранения секретов.

Как можно защитиься от программистов? Можно же залить по ssh скрипт который все сделает.

Доступ к ssh не требуется в большинстве задач. Можно разграничить доступ. Это может помочь, если у кого то крышу снесет.