মাইএসকিউএল এর বাইন্ড-ঠিকানা 0.0.0.0 এ সেট করা কতটা খারাপ?

আমি কোনও রিমোট সার্ভারকে কোনও মাইএসকিউএল ইনস্ট্যান্স অ্যাক্সেস করার অনুমতি দেওয়ার চেষ্টা করছি যা বর্তমানে একটি ওয়েব অ্যাপ্লিকেশনের সাথে লিনাক্স সার্ভারটি ভাগ করে। ডকুমেন্টেশন অনুসারে এটি কেবলমাত্র সম্ভব হবে (যদি না আমি সঠিকভাবে বুঝতে না পারি) তবে বাইন্ড-ঠিকানা নির্দেশকে 0.0.0.0 এ সেট করা হয় , যার ফলস্বরূপ মাইএসকিউএল কোনও আইপি থেকে অ্যাক্সেসের অনুমতি দেয় যা কোনও বৈধ ব্যবহারকারীর উত্পাদন করতে পারে।

সুতরাং, দুটি প্রশ্ন:

এটি সুরক্ষার জন্য কতটা ক্ষতিকর হবে?
মাইএসকিউএল এর সাথে স্থানীয় এবং দূরবর্তী উভয় কথোপকথনের মঞ্জুরি দেওয়ার জন্য আরও ভাল পদ্ধতির কী আছে?

linux mysql security

— jonathanatx
সূত্র

উত্তর:

আমি মনে করি আপনি বাইন্ড-ঠিকানা সেটিংটি কিছুটা ভুল বুঝছেন । এগুলি মাইএসকিউএল সংযোগগুলির জন্য শুনবে এমন স্থানীয় ঠিকানা। ডিফল্টটি 0.0.0.0 যা সমস্ত ইন্টারফেস। আপনি কেবল লোকাল হোস্টের জন্য 127.0.0.1 নির্দিষ্ট না করে এই সেটিংটি কোন আইপিগুলি সার্ভার অ্যাক্সেস করতে পারে তা সীমাবদ্ধ করে না।

আপনার যদি নির্দিষ্ট আইপি অ্যাড্রেস থেকে নির্দিষ্ট ব্যবহারকারীদের সীমাবদ্ধ করতে হয় তবে এটি তৈরি / মঞ্জুরকারী ব্যবহারকারীদের মতো ব্যবহার করুনCREATE USER 'bobdole'@'192.168.10.221';

— ডগ লাক্সেম
সূত্র

+1 তবে কেবল একটি নোট যে মাইএসকিউএল ইনস্টল করা আছে তার উপর নির্ভর করে ডিফল্ট শোনার ঠিকানা পরিবর্তিত হয়।

— জন গার্ডেনিয়ার্স

ধন্যবাদ ডগ, আমি মনে করি এই ক্ষেত্রে ডিফল্টটি আমার স্থানীয় হোস্ট ছিল, তবে এটি জেনে রাখা ভাল যে কোনও নির্দিষ্ট ডাটাবেসের ব্যবহারকারীরা এখনও আইপি দ্বারা সীমাবদ্ধ are

— jonathanatx

@jonathanatx মাইএসকিউএল ডিফল্ট বেঁধে-ঠিকানা (5.6 এবং হিসাবে পর্যন্ত ফিরে হিসাবে আমি জানি) হল 0.0.0.0। যদিও, আমি মনে করি যে অনেকগুলি ইনস্টলের জন্য কেবল স্থানীয়ভাবে বাঁধাই হ'ল সর্বোত্তম বিকল্প। আপনি যদি কেউ এর মধ্যে দিয়ে হাঁটতে না চান তবে দরজাটি খুলবেন না।

— ebyrob

ক। এটা খারাপ. যদিও আপনি প্রতিটি ডাটাবেসে আইপি দ্বারা ব্যবহারকারীর অ্যাক্সেসকে সীমাবদ্ধ রাখতে পারতেন, তবুও আমি মনে করি যে সমস্ত সংযোগ স্থানীয়ভাবে আসাটি আরও নিরাপদ। আমার সার্ভারগুলিতে আমি মাইএসকিউএলকে কেবলমাত্র স্থানীয় সংযোগ গ্রহণ করার অনুমতি দিই, 127.0.0.1 হিসাবে ডিফল্ট কনফিগারেশন। ডেটাবেসটি দূর থেকে অ্যাক্সেস করতে, আপনাকে যা করতে হবে তা হ'ল ডাটাবেসের সাথে সংযোগ স্থাপনের আগে একটি ssh টানেল তৈরি করা এবং তারপরে স্থানীয়ভাবে সংযোগ স্থাপন করতে হবে। আপনি যদি পিএইচপি দিয়ে কোডিং করছেন তবে এটি করা এটির পক্ষে সহজ। আপনি যদি লিনাক্সে ডেস্কটপ অ্যাপ্লিকেশনটি ব্যবহার করা সহজ করে থাকেন তবে (এসএসএস টানেলের সন্ধান করুন), উইন্ডোজ আমি সাধারণত আমার জন্য টানেল তৈরির জন্য পুট্টির মতো প্রোগ্রাম ব্যবহার করি।

— জেইসন জাস্ট
সূত্র

এটা বেশ উন্মাদ। এটি করার স্ট্যান্ডার্ড উপায়টি এমন ব্যবহারকারী তৈরি করা যা কেবলমাত্র নির্দিষ্ট হোস্টনাম বা আইপি থেকে অ্যাক্সেস করা যায়। প্রতিটি ওয়েব সার্ভারকে একটি ডেটাবেজে এসএসএইচ টানেল তৈরি করতে বাধ্য করা করা দরকার হওয়ার চেয়ে অনেক বেশি কাজ।

— TheLQ

আপনার ওয়েব সার্ভার এবং ডাটাবেস সার্ভার সর্বদা একই ডিভাইস হয় না। অবশ্যই ইন্টারনেট থেকে সংযোগগুলি আসতে দেবেন না .. তবে মাইএসকিউএল নেটওয়ার্ক অ্যাক্সেসের সাথে স্থপতি সমাধানের নিরাপদ উপায় রয়েছে।

— শেন ম্যাডেন

একটি ছোট সেটআপের জন্য (এক ডিবি, একটি www) আপনি এসএসএস টানেলিং করতে পারেন । সত্যিকারের সেটআপের জন্য আপনার ভিপিএন এবং ফায়ারওয়ালগুলি আপনাকে রক্ষা করবে, সুতরাং আপনি দূরবর্তী অ্যাক্সেসের অনুমতি দিতে 0.0.0.0 এর মাধ্যমে খুলতে চাইবেন।

— সোনিয়া হ্যামিল্টন

প্রত্যেকের জন্য যে এসএসএইচ টানেল ধারণাটি পাগল তা ভাবছেন, বিবেচনা করুন যে মাইএসকিউএল ট্র্যাফিকের বেশিরভাগ অংশ স্পষ্ট। যদি কোনও কারণে আপনাকে কোনও অবিশ্বস্ত নেটওয়ার্কের (যেমন ইন্টারনেট) জুড়ে সংযোগ করতে হয় তবে এসএসএইচ বিবেচনা করুন বা কোনও ভিপিএন দিয়ে এটি করুন। আমি কী বলছি তা যদি আপনি দেখতে চান তবে ওয়্যারশার্ক বা অন্য কোনও প্যাকেট স্নিফার ফায়ার করুন।

— ব্র্যাড

@ ব্র্যাড মাইএসকিউএল এনক্রিপশন সমর্থন করে তাই এটি সঠিক নয়।

— মার্টি মার্কভ