দেখে মনে হচ্ছে ওয়েব সার্ভারের মতো একই মেশিনে ডাটাবেস সার্ভারটি চালানো খুব সহজ হবে, তবে আমরা কি এটি করে একটি বড় সুরক্ষিত ঝুঁকি নিচ্ছি?
পরিবেশটি উইন্ডোজ ২০০৮ এর সার্ভার, পোস্টগ্র্যাস্কল (সর্বশেষ সংস্করণ, সম্ভবত এটি প্রকাশের সময় 9.0) এবং অ্যাপাচি 2 হবে।
উত্তর:
অগত্যা।
আপনার ওয়েব সার্ভারটি আপোস হয়ে যায় বলে ধরে নেওয়া আক্রমণকারী এখনও একই ডেটাবেসগুলিতে অ্যাক্সেসের শংসাপত্র অর্জন করবে, তারা কোনও সার্ভার চালিত না কেন। সর্বোপরি, ওয়েব সার্ভার থেকে বৈধ অনুরোধটি মঞ্জুর করার জন্য ডাটাবেস সার্ভারটি এখনও কনফিগার করা দরকার।
(বুদ্ধিমান সুরক্ষা ব্যবস্থা যেমন মাইএসকিএলডে লোকালহোস্ট থেকে পাসওয়ার্ড-কম রুট লগইন গ্রহণ করে না তা ধরে নিচ্ছি))
বলা হচ্ছে, আপনি এখনও একটি পৃথক ডাটাবেস সার্ভার চালাতে চাইতে পারেন। পারফরম্যান্স, স্কেল্যাবিলিটি ইত্যাদির সাথে সম্পর্কিত হওয়ার কারণ
আমি পোস্টারগুলির সাথে একমত নই যে এটি কোনও সুরক্ষা উদ্বেগ নয়, এবং এখানে কেন:
এটি সত্যই আপনার ওয়েব এবং ডিবি সার্ভারের সুরক্ষা মডেলের উপর নির্ভর করবে (এটি সফ্টওয়্যার), পাশাপাশি ফায়ারওয়ালিং / অ্যাক্সেস কন্ট্রোল / আইডিপি আপনি যে দুটিটির জন্য প্রয়োগ করতে পারবেন তার ডিগ্রি পৃথক সার্ভারে থাকত।
অন্য সব সমান হচ্ছে, সম্ভবত দুটি ক্ষেত্রে আলাদা হওয়া ভাল। ব্যবহারিকভাবে, তবে কমপক্ষে একটি ল্যাম্প পরিবেশে, যতক্ষণ আপনি প্রাইভস্যাপ অ্যাপাচি ব্যবহার করছেন (আপনি যদি নিশ্চিত না হন তবে চিন্তিত হবেন না, আপনিই রয়েছেন) এবং আপনার ওয়েব অ্যাপে মাইএসকিউএলে রুট লগইন ব্যবহার করছেন না, এবং বাইরের বিশ্বের কাছে আপনার কাছে টিসিপি / 3306 প্রকাশিত নেই, আপনি একটি বা অন্যটিকে সিলিকনের আলাদা টুকরোতে স্থানান্তরিত করে খুব বেশি সুরক্ষা অর্জন করছেন না । যদিও আপনি পারফরম্যান্স এবং ডিবাগ-সক্ষমতার সুবিধাগুলি অর্জন করেন।
আপনার প্রশ্নটি এমন স্টাইলে রয়েছে যার একটি নিখুঁত উত্তর প্রয়োজন বলে মনে হয় তবে আরও তথ্য ছাড়াই (কমপক্ষে, আমরা কী ওএস এবং ওয়েব / ডিবি সার্ভারের স্বাদে কথা বলছি), কোনও তথ্যমূলক উত্তর দেওয়াও শক্ত hard
ডেটাবেস এবং ওয়েব সার্ভারগুলিকে একই হার্ডওয়্যারে রাখার জন্য আমি অতিরিক্ত অতিরিক্ত সুরক্ষা ঝুঁকি দেখছি না। যদি ওয়েব সার্ভারটি লঙ্ঘন করা হয় তবে যেভাবেই ডেটা অ্যাক্সেসযোগ্য। সুরক্ষা আলাদা আলাদা করার জন্য সাধারণ কারণ নয়।
উভয় ক্ষেত্রেই আপনি নিশ্চিত করতে চান যে ডাটাবেস সার্ভারটি অ-মানক পোর্টগুলিতে শুনছে, কেবলমাত্র ওয়েব সার্ভারের অনুরোধের প্রতিক্রিয়া জানাবে এবং ফায়ারওয়াল কেবলমাত্র ওয়েব সার্ভারে http / গুলি অনুরোধের অনুমতি দেয় এবং অন্য কোনও পোর্ট বা ঠিকানা দেয় না allows ।
যাইহোক, এগুলি পৃথক করা ভাল অনুশীলন .. প্রতিটি সার্ভার পরিচালনা করা এবং কনফিগার করা সহজ এবং আপনি ব্যর্থতা, সমস্যা, পুনর্নির্মাণ, পারফরম্যান্স সম্পর্কিত সমস্যাগুলি ইত্যাদির সাথে আরও সহজে এগিয়ে যেতে পারেন। সুতরাং, আপনি একই হার্ডওয়্যারটিতে দুটি ভার্চুয়াল সার্ভার বিবেচনা করতে পারেন, যা পারফরম্যান্স বা ক্ষমতা প্রয়োজন হলে পৃথক করা যেতে পারে।
আমি করতাম না - তবে আমিই
এটি আপনার বাক্সের সামনে কী রয়েছে তার উপর নির্ভর করে (যেমন ফায়ারওয়ালস, লোড-ব্যালেন্সার ইত্যাদি) এবং তারা কতটা 'টাইট', প্রকৃত ডেটা কী (যেমন এখন-প্রভাবিতভাবে জনসাধারণের জন্য এক প্রান্তে উপলব্ধ ডেটা, অন্যদিকে জাতীয় গোপনীয়তা) , তাদের সংমিশ্রণে কোনও কার্যকারিতা প্রভাব রয়েছে কিনা, তাদের উভয়ের মধ্যে নেটওয়ার্কের শক্তি (অর্থাত্ আন্তঃ-স্তরীয় ফায়ারওয়ালস) এবং ওএস / অ্যাপ্লিকেশন কঠোর করার মান প্রয়োগ করা হবে।
আপনি যদি এই সিস্টেমটিকে অতিরিক্ত লোডের সাথে মোকাবিলা করার আশা করেন না তবে আপনি যে বিষয়টি বিবেচনা করতে পারবেন সেটি হ'ল দুটি পৃথক ভিএমগুলিতে সিস্টেমটিকে ভার্চুয়ালাইজ করা; ফাংশন প্রতি এক - সম্ভবত তাদের মধ্যে এমনকি তৃতীয় সফ্টওয়্যার-কেবল ফায়ারওয়াল ভিএম। এর অর্থ হ'ল এমনকি যদি কেউ আপনার ওয়েব সার্ভারটি ক্র্যাক করে তবে তাদের ডাটাবেস সার্ভারটি ক্র্যাক করতে হবে এবং যদি অন্তর্ভুক্ত করা হয় তবে একটি মধ্যস্থতাকারী ফায়ারওয়াল ভিএম। অবশ্যই এটি সামগ্রিক সিস্টেমের কার্যকারিতা হ্রাস করবে তবে কমপক্ষে কিছুটা বেশি সুরক্ষিত হবে এবং যদি আপনার লোড কখনও দু'টি সার্ভার ডিজাইনের প্রয়োজনে বাড়তে পারে তবে আপনি কেবল একটি ভিএমকে দ্বিতীয় মেশিনে সরিয়ে নিতে পারেন help ভিএমওয়্যারের ফ্রি ইএসজি পণ্যটি খুব সহজেই এই কাজটি করতে পারে এবং ইতিমধ্যে যদি ফ্রি ফায়ারওয়াল ভিএমগুলি বাস্তবায়ন করার জন্য প্রস্তুত থাকে তবে আপনি চাইতেন।