মাইএসকিউএলে বর্বর-আক্রমণ প্রতিরোধ করা?

আমার মাইএসকিউএলডি এর জন্য নেটওয়ার্কিং চালু করা দরকার, তবে যতবার না করা হয় সার্ভারটি নষ্ট হয়ে যায় into কিছু মানে পাসওয়ার্ড অনুমানের স্ক্রিপ্টটি সার্ভারে হাতুড়ি শুরু করে 3306 পোর্টে একটি সংযোগ খোলার জন্য এবং এলোমেলো পাসওয়ার্ড চিরতরে চেষ্টা করা।

কীভাবে আমি এটি হতে বাধা দিতে পারি?

এসএসএইচের জন্য, আমি অস্বীকারকারী ব্যবহার করি, যা ভাল কাজ করে। মিনএসকিউএলডি দিয়ে অস্বীকারকারীদের কাজ করার কোনও উপায় আছে কি?

আমি মাইএসকিউএল পোর্টটি পরিবর্তন করার বিষয়টিও বিবেচনা করেছি, তবে এটি আদর্শের চেয়ে কম এবং কেবল একটি স্টপ-গ্যাপ সমাধান (তারা যদি নতুন বন্দরটি আবিষ্কার করে তবে কী হবে?)

কেউ অন্য কোন ধারনা আছে?

যদি এটি অন্যরকম হয় তবে আমি মাইএসকিউএল 5.x ফ্রিবিএসডি 6.x এ চালাচ্ছি।

আমি মাইএসকিউএল-এর জন্য কোনও অস্বীকারকারী-জাতীয় সফ্টওয়্যার প্যাকেজগুলি জানি না, তবে আমার কাছে বেশ কয়েকটি সমাধান রয়েছে:

• নির্দিষ্ট আইপি ঠিকানাগুলিতে লগইন সীমাবদ্ধ করুন। সমস্ত হোস্টকে সার্ভারের সাথে সংযোগ করার অনুমতি দেওয়ার জন্য% ব্যবহার করবেন না।
• আরও সুরক্ষিত, অনুমোদিত আইপি অ্যাড্রেসগুলি থেকে 3306 এ অ্যাক্সেসের অনুমতি দেওয়ার জন্য iptables সেট আপ করুন।
• আপনার ট্র্যাফিকটি এসএস দিয়ে বাক্সে টানেল করুন এবং তারপরে লোকালহোস্টের মাধ্যমে সংযুক্ত করুন
• মাইএসকিএল অ্যাক্সেস লগগুলি বিশ্লেষণ করতে এবং ফায়ারওয়ালে যেকোন ব্রুট ফোর্স প্রচেষ্টা অবরুদ্ধ করতে ডেনহাইটস বা বিএফডি স্ক্রিপ্টগুলি সংশোধন করুন

সম্পাদনা করুন :

আপনার মন্তব্যের উত্তর দিতে, এটি চেষ্টা করুন :

iptables -A INPUT -p tcp -s 202.54.1.50 --sport 1024:65535 -d 202.54.1.20 --dport 3306 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -p tcp -s 202.54.1.20 --sport 3306 -d 202.54.1.50 --dport 1024

যেখানে .20 আপনার মাইএসকিউএল এবং .50 হ'ল দূরবর্তী সংযোগকারী আইপি ঠিকানা।

1: 3306 থেকে বন্দরটি পরিবর্তন করুন better উন্নত সুরক্ষার কারণে নয়, ভুয়া লগইন আক্রমণ মোকাবেলায় সার্ভারের বোঝা নিতে

2: এসএসএল শংসাপত্র তৈরি করুন এবং এটি আপনার মাইএসকিউএল সার্ভারে সক্ষম করুন (যেভাবেই হোক আপনার ক্লায়েন্ট-সার্ভার সংযোগটি এনক্রিপ্ট করতে হবে)

3: এক বা একাধিক ক্লায়েন্ট শংসাপত্র তৈরি করুন (সমস্ত ক্লায়েন্টের শংসাপত্র থাকতে হবে এবং এটি ব্যবহারের জন্য ক্লায়েন্ট-সফ্টওয়্যার কনফিগার করা দরকার)। যদি আপনার ক্লায়েন্ট হয় নেট আপনি, pkcs12 ফর্ম্যাটে ক্লায়েন্ট শংসাপত্র রূপান্তর করতে প্রয়োজন, কিন্তু সহজেই সম্পন্ন হয়েছে তা দেখতে এই পথ প্রদর্শক ..

4: x509 ক্লায়েন্ট শংসাপত্রের জন্য মাইএসকিউএল ব্যবহারকারী অ্যাকাউন্ট সেট করুন, তারপরে একজন আক্রমণকারী উভয়ের জন্যই লগইন শংসাপত্র এবং ক্লায়েন্ট শংসাপত্রের প্রয়োজন (এমনকি আপনি ক্লায়েন্টের শংসাপত্রে একটি পাসওয়ার্ডও রাখতে পারেন, তবে আক্রমণকারীকেও এটির প্রয়োজন হয়)।

আমি শংসাপত্র এবং কী ফাইলগুলি তৈরি করতে এই গাইডটি ব্যবহার করেছি তবে সেখানে অনেক গাইড রয়েছে।

প্রশাসনের উদ্দেশ্যে আমার লিনাক্স বাক্সটি অ্যাক্সেস করার জন্য আমি কেবল আমার এসএসএইচ সংযোগটি ব্যবহার করতে পছন্দ করি, ক্লায়েন্টের অ্যাক্সেসের জন্য নয়।

মাইএসকিউএল প্রক্সি ব্যবহার করে আপনি একটি ছোট এলইউএ স্ক্রিপ্ট লিখতে পারেন যা ব্যবহারকারীর / পাসের সংমিশ্রণ গ্রহণ করে তবে সংযোগের অনুরোধটি যদি একটি অনুমোদিত না হওয়া আইপি পরিসীমা থেকে আসে তবে লগইনটি প্রক্রিয়াকরণের জন্য X সেকেন্ড অপেক্ষা করে।

আপনি তিনটি ব্যর্থ চেষ্টার পরে আইপি রেঞ্জকে কালো তালিকাভুক্ত করতে LUA স্ক্রিপ্টে কিছুটা অতিরিক্ত যুক্তি যুক্ত করতে পারেন।

সব মিলিয়ে, এটি প্রযুক্তিগতভাবে অক্ষম, তবে আমি এসএসএইচ বা একটি ভিপিএন এর মাধ্যমে একটি সাধারণ, শ্বেত তালিকাভুক্ত (এফডাব্লু বা অন্যান্য উপায়ে) আইপি পরিসরের কাছে সুড়ঙ্গ করার জন্য অন্যান্য প্রস্তাবনার সাথে যাচ্ছি।

কেন কেবল সুরক্ষিত হোস্ট থেকে মাইএসকিএলড বন্দরে প্রবেশের অনুমতি দিচ্ছেন না?

যদিও এটি কোনও "আসল" উত্তর নয় - কেন আপনি এটি সরাসরি বাইরের বিশ্বে প্রকাশ করতে হবে তা আমি জানি না।

আপনি কি সেই বাক্সে এসএসএস সক্ষম করতে পারবেন না, এবং ডিবি ইঞ্জিনটি অ্যাক্সেস করতে টানেলিং ব্যবহার করতে পারবেন?

অথবা এটি অ্যাক্সেসের জন্য অন্য কোনও ভিপিএন সমাধান (ওপেনভিপিএন মনে হয়)।

সমস্যার আসল সমাধান নয়, তবে আপনি যদি অন্য কোনও পোর্টে সার্ভারটি চালান তবে এটি আপনাকে সাহায্য করতে পারে। এই স্ক্যানিং বটগুলির বেশিরভাগই কেবল 3306 যাচাই করার জন্য প্রোগ্রাম করা হয়েছে It এটি সমস্যার সমাধান করবে না, তবে আপনি কেবল বন্দরটি পরিবর্তন করে খুব কম স্ক্যান পাবেন।

আমি বিশ্বাস করি সংযোগগুলি ফায়ারওয়াল করা উচিত: দ্রুত এবং দুর্দান্ত। Iptables এবং যাই হোক না কেন :) এর জন্য প্রচুর টিউটোরিয়াল রয়েছে

এছাড়াও আপনি ক্লায়েন্টদের হোস্টগুলিতে ক্রোনজব ইনস্টল করতে পারেন যা ফায়ারওয়াল পরিচিত হোস্টগুলিকে ব্লক করা থেকে বিরত রাখতে সার্ভারে স্মিথ চালাবে।

টানেলের জন্য এসএসএস ব্যবহার করা সবচেয়ে ভাল হবে তবে আপনি অস্বীকারকারীদের পরিবর্তে ফেলফ্যান 2 ব্যবহার করার চেষ্টা করতে পারেন কারণ আমি মনে করি এটি আরও বিভিন্ন অ্যাপ্লিকেশন পর্যবেক্ষণের দিকে লক্ষ্য করে তাই এটিতে মাইএসকিএল লগ যুক্ত করার কোনও সমস্যা হবেনা।

আপনার my.cnf-ini [mysqld] বিভাগের জন্য বিবেচনা করার পরামর্শ

max_connect_errors=10  # to limit hacker/cracker attempts to guess a password.

90 সেকেন্ডে শত চেষ্টা এড়ানোর জন্য। 10 টি চেষ্টায় এগুলি কেটে ফেলুন।

আপনার সিস্টেমটি ব্যবহার করার চেষ্টা করছেন এমন বৈধ লোকদের সাফ করার জন্য দিনে একবার ফ্লাশ হোস্টগুলি বিবেচনা করুন যা কেবল তাদের পাসওয়ার্ড মনে করতে পারে না। হয়তো কয়েক দিনের মধ্যে তারা এটি পেয়ে যাবে।