Назад | Перейти на главную страницу

Предлагает ли изменение tcp-порта MySQL по умолчанию какие-либо преимущества безопасности?

В заголовке есть все, рекомендуется ли на производственных серверах изменить порт по умолчанию?

Другие участники этой системы (и где-либо еще) убедили меня, что нет ничего плохого в том, что безопасность через скрытность отсутствует, но она должна никогда быть твоей единственной линией защиты.

Запустите его на другом порту, во что бы то ни стало, но не позволяйте этому мешать вам агрессивно брандмауэры, гарантируя, что используются только надежные пароли, и заверните соединение в SSL или (лучше) VPN, если внешние системы должны подключаться к вашему Служба MySQL в общедоступном Интернете.

Если ваша единственная защита - запустить его на нестандартном порту, кто-то другой, использующий сканер портов, рано или поздно обнаружит его (возможно, раньше), и ваша защита будет отключена.

Использование нестандартного порта защищает вас от сценариев грубой силы, которые предполагают использование стандартного порта, но:

  • Это не защитит от сценариев, которые выполняют сканирование портов или что-то подобное, чтобы узнать, прослушивает ли mysql что-то другое, кроме порта по умолчанию, или что-то, что может найти правильный порт, чтобы попробовать из информации в другом месте
  • Если ваш сервер базы данных действует только для приложения (т. Е. Обслуживает веб-приложения, а не пользователей напрямую), тогда ничто, кроме компьютеров вашего веб-сервера, все равно не должно подключаться: убедитесь, что какой-либо порт, на котором он работает, защищен, поэтому только несколько хостов, которые должны подключиться, могут подключиться
  • Если пользователям, отличным от пользователя приложения, действительно необходимо подключиться, необходимы хорошие политики паролей и правильно управляемые разрешения (и, возможно, они могут подключаться только через туннель VPN или SSH, а не открывать порт mysql для более широкой сети)

Использование порта, отличного от порта по умолчанию, не причинит вреда, но, если не установлена ​​другая защита, от этого мало пользы (в лучшем случае это увеличивает количество времени между успешными взломами, а не устраняет риск) и с другой защитой. переход на другой порт не потребуется.

Нет.

Безопасность SQL исходит из

  • хорошо отрегулированные права пользователя
  • Брандмауэр для сетей, не требующих доступа к портам MySQL

и т.п.