Как сказано в названии, поможет ли это?
Представьте себе сайт объявлений, где пользователи просто входят в систему, выходят из системы, размещают объявления, удаляют объявления и т. Д.
Все с PHP и mysql.
У меня есть собственный сервер с IPtables.
Должен ли я блокировать весь трафик, кроме IP-адреса моего сервера, на порт MySql?
Спасибо
Если вам нужен доступ к mysql только с локального сервера, зачем вообще запускать сеть? В skip-networking опция отключит IP-связь, и все должно использовать связь на основе сокетов.
Вы также можете установить bind-address = 127.0.0.1 что делает невозможным доступ к mysql для чего-либо, кроме как с локального хоста.
Что касается вашего вопроса, обычно очень полезно попытаться свести к минимуму круг лиц, имеющих доступ к важным службам.
Мы полностью закрываем порт 3306 и используем графический интерфейс MySQL, поддерживающий либо SSL-соединения, либо SSH-туннелирование.
Да, это хорошая идея, но важно помнить, что это всего лишь один уровень безопасности - он не защищает от других эксплойтов, таких как SQL-инъекция.
Не забудьте сначала проверить это - если вы подключаетесь по IP-адресу для сервера, к которому вы подключаетесь через TCP, но ваш исходный IP-адрес может не быть внешним IP-адресом (в зависимости от конфигурации вашей сети он может быть внутренним), так что будьте осторожный.
Если вы подключаетесь на localhost, вы можете полностью заблокировать порт 3306, поскольку он использует сокет.
Да, это стандартная процедура безопасности для блокировки сервера / демона базы данных, чтобы только компьютеры, которым требуется доступ, могли получить к нему доступ. Речь идет не столько о программировании, сколько о sys-admin и общей сетевой безопасности.