একই মেশিনে ডাটাবেস সার্ভার এবং একটি ওয়েব সার্ভার থাকা কি ঝুঁকিপূর্ণ?


8

দেখে মনে হচ্ছে ওয়েব সার্ভারের মতো একই মেশিনে ডাটাবেস সার্ভারটি চালানো খুব সহজ হবে, তবে আমরা কি এটি করে একটি বড় সুরক্ষিত ঝুঁকি নিচ্ছি?

পরিবেশটি উইন্ডোজ ২০০৮ এর সার্ভার, পোস্টগ্র্যাস্কল (সর্বশেষ সংস্করণ, সম্ভবত এটি প্রকাশের সময় 9.0) এবং অ্যাপাচি 2 হবে।


এটা নির্ভর করে. আপনি যে নির্দিষ্ট পরিস্থিতিটি বিবেচনা করছেন সে সম্পর্কে আরও বিশদ দিতে পারেন?
কে। ব্রায়ান কেলি

উত্তর:


7

অগত্যা।

আপনার ওয়েব সার্ভারটি আপোস হয়ে যায় বলে ধরে নেওয়া আক্রমণকারী এখনও একই ডেটাবেসগুলিতে অ্যাক্সেসের শংসাপত্র অর্জন করবে, তারা কোনও সার্ভার চালিত না কেন। সর্বোপরি, ওয়েব সার্ভার থেকে বৈধ অনুরোধটি মঞ্জুর করার জন্য ডাটাবেস সার্ভারটি এখনও কনফিগার করা দরকার।

(বুদ্ধিমান সুরক্ষা ব্যবস্থা যেমন মাইএসকিএলডে লোকালহোস্ট থেকে পাসওয়ার্ড-কম রুট লগইন গ্রহণ করে না তা ধরে নিচ্ছি))

বলা হচ্ছে, আপনি এখনও একটি পৃথক ডাটাবেস সার্ভার চালাতে চাইতে পারেন। পারফরম্যান্স, স্কেল্যাবিলিটি ইত্যাদির সাথে সম্পর্কিত হওয়ার কারণ


3
আমি সম্মত হই যে আপনি একই মেশিনে উভয়ই চালিয়ে যাচ্ছেন এমন পারফরম্যান্স হিট হয়ে যাওয়ার একটি বড় সমস্যা হবে।
ক্রিসএফ

5

আমি পোস্টারগুলির সাথে একমত নই যে এটি কোনও সুরক্ষা উদ্বেগ নয়, এবং এখানে কেন:

  • আপনার সামনের মুখোমুখি পরিষেবাটিতে সবচেয়ে ছোট আক্রমণের পৃষ্ঠ হওয়া উচিত । বিপরীত প্রক্সি এবং ফায়ারওয়ালগুলি ব্যবহার করার এবং অপ্রয়োজনীয় পরিষেবা এবং প্রোগ্রামগুলি সার্ভার থেকে দূরে রাখার জন্য এগুলির প্রাথমিক কারণ যা তাদের পরিচালনার প্রয়োজন হয় না। এই কারণেই সুরক্ষা শক্তকরণ পাসের জন্য ওয়েব সার্ভারগুলি সর্বাধিক সাধারণ লক্ষ্য।
  • আপনার ওয়েব সার্ভারে আপনার ডাটাবেস সিস্টেমের godশ্বরের অধিকার থাকা উচিত নয়। অতএব ওয়েব সার্ভারের সাথে আপস করা ডেটাবেস সার্ভারের সাথেও আপস করে না। আরম্ভকারীদের জন্য, ওয়েব সার্ভার যে অ্যাকাউন্টটি ডাটাবেস অ্যাক্সেস করতে ব্যবহার করে তা এসকিউএল বাক্সের স্থানীয় প্রশাসনিক অধিকার না থাকা উচিত, এর অধিকারগুলি সম্পূর্ণরূপে ডাটাবেসের অনুমতিতে সীমাবদ্ধ থাকা উচিত। দ্বিতীয়ত, এই এসকিউএল অনুমতিগুলির মধ্যে এটি ন্যূনতম সুবিধার নীতির অধীনে পরিচালিত হওয়া উচিত । উদাহরণস্বরূপ, আপনার ওয়েব বাক্সে উদাহরণস্বরূপ নতুন ডাটাবেসগুলি ইনস্ট্যান্ট করতে সক্ষম হবে না। আদর্শভাবে, আপনার ওয়েব বাক্সে টেবিলগুলি ফেলে দেওয়ার বা কোনও টেবিল থেকে সারিগুলি মুছে ফেলার ক্ষমতা থাকবে না যা এটি একেবারেই নেই। সুতরাং সঠিকভাবে কনফিগার করা দ্বি-স্তরের সেটআপে আপস করার ক্ষেত্রে, এসকিউএল শংসাপত্রগুলি ব্যবহার করে কোনও আক্রমণকারীর প্রভাব সীমিত limited

1
আমি মনে করি না যে কারও বক্তব্য যে দুটি বাক্সের সমাধান নিরাপদ নয়। যাইহোক, প্রশ্নটি ছিল যে ঝুঁকিটি কিনা, প্রশ্নটির উদ্ধৃতি দিতে, "বড়"। উত্তরটি অবশ্যই পরিস্থিতির উপর নির্ভর করবে - উদাহরণস্বরূপ, আমি কোনও একক মেশিনে কোনও ইন্টারনেট-মুখী ব্যাংকিং সাইট চালাব না। তবে সঠিকভাবে লকড ওয়েব সার্ভার, একবার সমঝোতার পরে, তার ডেটাবেস সার্ভারে আপস করার আগে যতটা কম হয়েছে তার চেয়ে বেশি বা কম অ্যাক্সেস থাকা উচিত নয়, এবং এই নীতিটি দুটি মেশিনে বা একটিতে রয়েছে কিনা সে বিষয়ে স্বাধীন। যদি এটি সত্য না হয় তবে সিস্টেমটি পুনর্নির্মাণের সময় এসেছে।
বিএমডান

আমি আপনার যুক্তি অনুসরণ করছি না। আপনি যদি কোনও ওয়েব সার্ভারের সাথে আপস করেন এবং সেই মেশিনটি রুট করেন তবে আপনি সেই মেশিনে থাকা সমস্ত কিছুই পেয়ে গেছেন। যদি এতে আপনার সম্পূর্ণ ডেটাবেস এর সমস্ত ডেটা অন্তর্ভুক্ত থাকে তবে সবকিছু আপোস করা হবে। তবে আপনার যদি দুটি পৃথক সার্ভার থাকে, তবে ওয়েব সার্ভারকে সম্পূর্ণরূপে আপস করুন, যে কোনও ডিগ্রীতে, কেবলমাত্র আপনাকে কেবলমাত্র সার্ভারে অ্যাক্সেসযোগ্য ডেটাতে ডেটা-স্তরের অ্যাক্সেস পাবেন।
ক্রিস থর্প

3

এটি সত্যই আপনার ওয়েব এবং ডিবি সার্ভারের সুরক্ষা মডেলের উপর নির্ভর করবে (এটি সফ্টওয়্যার), পাশাপাশি ফায়ারওয়ালিং / অ্যাক্সেস কন্ট্রোল / আইডিপি আপনি যে দুটিটির জন্য প্রয়োগ করতে পারবেন তার ডিগ্রি পৃথক সার্ভারে থাকত।

অন্য সব সমান হচ্ছে, সম্ভবত দুটি ক্ষেত্রে আলাদা হওয়া ভাল। ব্যবহারিকভাবে, তবে কমপক্ষে একটি ল্যাম্প পরিবেশে, যতক্ষণ আপনি প্রাইভস্যাপ অ্যাপাচি ব্যবহার করছেন (আপনি যদি নিশ্চিত না হন তবে চিন্তিত হবেন না, আপনিই রয়েছেন) এবং আপনার ওয়েব অ্যাপে মাইএসকিউএলে রুট লগইন ব্যবহার করছেন না, এবং বাইরের বিশ্বের কাছে আপনার কাছে টিসিপি / 3306 প্রকাশিত নেই, আপনি একটি বা অন্যটিকে সিলিকনের আলাদা টুকরোতে স্থানান্তরিত করে খুব বেশি সুরক্ষা অর্জন করছেন না । যদিও আপনি পারফরম্যান্স এবং ডিবাগ-সক্ষমতার সুবিধাগুলি অর্জন করেন।

আপনার প্রশ্নটি এমন স্টাইলে রয়েছে যার একটি নিখুঁত উত্তর প্রয়োজন বলে মনে হয় তবে আরও তথ্য ছাড়াই (কমপক্ষে, আমরা কী ওএস এবং ওয়েব / ডিবি সার্ভারের স্বাদে কথা বলছি), কোনও তথ্যমূলক উত্তর দেওয়াও শক্ত hard


1
+1 বেসিক সুরক্ষা এবং সেরা অনুশীলনগুলি বেশিরভাগ ডেটার জন্য যথেষ্ট।
ক্রিস এস

আমরা চলতে চলেছি: উইন্ডোজ সার্ভার ২০০৮ এবং পোস্টগ্র্যাস্কিল ৮.৪ (বা এটি যখন প্রকাশিত হয় তখন 9.0), অ্যাপাচি 2
সিএলজে

0

ডেটাবেস এবং ওয়েব সার্ভারগুলিকে একই হার্ডওয়্যারে রাখার জন্য আমি অতিরিক্ত অতিরিক্ত সুরক্ষা ঝুঁকি দেখছি না। যদি ওয়েব সার্ভারটি লঙ্ঘন করা হয় তবে যেভাবেই ডেটা অ্যাক্সেসযোগ্য। সুরক্ষা আলাদা আলাদা করার জন্য সাধারণ কারণ নয়।

উভয় ক্ষেত্রেই আপনি নিশ্চিত করতে চান যে ডাটাবেস সার্ভারটি অ-মানক পোর্টগুলিতে শুনছে, কেবলমাত্র ওয়েব সার্ভারের অনুরোধের প্রতিক্রিয়া জানাবে এবং ফায়ারওয়াল কেবলমাত্র ওয়েব সার্ভারে http / গুলি অনুরোধের অনুমতি দেয় এবং অন্য কোনও পোর্ট বা ঠিকানা দেয় না allows ।

যাইহোক, এগুলি পৃথক করা ভাল অনুশীলন .. প্রতিটি সার্ভার পরিচালনা করা এবং কনফিগার করা সহজ এবং আপনি ব্যর্থতা, সমস্যা, পুনর্নির্মাণ, পারফরম্যান্স সম্পর্কিত সমস্যাগুলি ইত্যাদির সাথে আরও সহজে এগিয়ে যেতে পারেন। সুতরাং, আপনি একই হার্ডওয়্যারটিতে দুটি ভার্চুয়াল সার্ভার বিবেচনা করতে পারেন, যা পারফরম্যান্স বা ক্ষমতা প্রয়োজন হলে পৃথক করা যেতে পারে।


0

আমি করতাম না - তবে আমিই

এটি আপনার বাক্সের সামনে কী রয়েছে তার উপর নির্ভর করে (যেমন ফায়ারওয়ালস, লোড-ব্যালেন্সার ইত্যাদি) এবং তারা কতটা 'টাইট', প্রকৃত ডেটা কী (যেমন এখন-প্রভাবিতভাবে জনসাধারণের জন্য এক প্রান্তে উপলব্ধ ডেটা, অন্যদিকে জাতীয় গোপনীয়তা) , তাদের সংমিশ্রণে কোনও কার্যকারিতা প্রভাব রয়েছে কিনা, তাদের উভয়ের মধ্যে নেটওয়ার্কের শক্তি (অর্থাত্ আন্তঃ-স্তরীয় ফায়ারওয়ালস) এবং ওএস / অ্যাপ্লিকেশন কঠোর করার মান প্রয়োগ করা হবে।

আপনি যদি এই সিস্টেমটিকে অতিরিক্ত লোডের সাথে মোকাবিলা করার আশা করেন না তবে আপনি যে বিষয়টি বিবেচনা করতে পারবেন সেটি হ'ল দুটি পৃথক ভিএমগুলিতে সিস্টেমটিকে ভার্চুয়ালাইজ করা; ফাংশন প্রতি এক - সম্ভবত তাদের মধ্যে এমনকি তৃতীয় সফ্টওয়্যার-কেবল ফায়ারওয়াল ভিএম। এর অর্থ হ'ল এমনকি যদি কেউ আপনার ওয়েব সার্ভারটি ক্র্যাক করে তবে তাদের ডাটাবেস সার্ভারটি ক্র্যাক করতে হবে এবং যদি অন্তর্ভুক্ত করা হয় তবে একটি মধ্যস্থতাকারী ফায়ারওয়াল ভিএম। অবশ্যই এটি সামগ্রিক সিস্টেমের কার্যকারিতা হ্রাস করবে তবে কমপক্ষে কিছুটা বেশি সুরক্ষিত হবে এবং যদি আপনার লোড কখনও দু'টি সার্ভার ডিজাইনের প্রয়োজনে বাড়তে পারে তবে আপনি কেবল একটি ভিএমকে দ্বিতীয় মেশিনে সরিয়ে নিতে পারেন help ভিএমওয়্যারের ফ্রি ইএসজি পণ্যটি খুব সহজেই এই কাজটি করতে পারে এবং ইতিমধ্যে যদি ফ্রি ফায়ারওয়াল ভিএমগুলি বাস্তবায়ন করার জন্য প্রস্তুত থাকে তবে আপনি চাইতেন।

আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.