List:German« Previous MessageNext Message »
From:Mike Beck Date:December 23 2003 2:03pm
Subject:RE: port schliessen
View as plain text  
Ralf Geschke wrote:
> Hallo !
> 
>> Wenn Du in die [mysqld]-Sektion der /etc/my.cnf die Zeile
>> "skip-networking" hinzufuegst, nimmt mysqld ab seinem nachsten Start
>> nur noch Verbindungen über Unix-domain-sockets (Windows:
>> Named-pipes), aber nicht mehr ueber TCP entgegen. Das ist die
>> Standardeinstellung bei einigen Distributionen.
> 
> Ist richtig, aber genau aus dem Grund mitunter nicht erwuenscht.
> 
> Alternative:
> bind-address=127.0.0.1
> 
> in die my.cnf eintragen und somit dafuer zu sorgen, dass
> der MySQL-Server nicht mehr an allen bzw. den echten,
> von aussen erreichbaren IP-Adressen des Rechners
> lauscht.
> 
>> Alternativ oder zusaetzlich koenntest Du mit Firewallregeln (z.B.
>> iptables) alle nicht vorgesehenen ip-Zugriffe auf den Server sperren.
> 
> Alternativ wuerde ich das nicht machen, sondern allenfalls
> zusaetzlich. Und es ist besser, erst gar keine Angriffsflaeche
> zu bieten als jene nur mit Mauern zu umschliessen.
>
Also idealerweise natürlich beides - skip-networking in der my.cnf ist
sicherlich erst mal sicherer als 'nur' bind-address=127.0.0.1. Solange man
selbst nur von php aus drauf zugreifen will, führt das auch nicht zu
Problemen. Wenn man noch von irgendwas anderem auf drauf zugreifen möchte,
kann es sein, dass man networking nicht abschalten kann, sondern nur soweit
einschränken, dass es halt nur auf 127.0.0.1 horcht. Da gebe ich Dir sofort
Recht, dass das sicherer ist, als nur per Firewall den Zugriff
einzuschränken. 

Ich würde das 'allenfalls zusätzlich' aber auch net so stehen lassen wollen
- mit einem gesunden Mindestmass an Paranoia sollte es zumindest eine
Firewallregel geben, die festlegt, dass alle von aussen kommenden Pakete mit
einer internen ip gedroppt werden.
Beispiel:
(Pakete kommen von aussen über Netzwerschnittstelle ppp0 rein:)
/sbin/iptables -A block -i ppp0 -s 127.0.0.1/8 -j DROP
...

-- 
Mike Beck
mikebeck@stripped 
Thread
port schliessenrobert23 Dec
  • Re: port schliessenJohannes Franken23 Dec
    • Re: port schliessenRalf Geschke23 Dec
Re: port schliessenFelix Ostmann23 Dec
  • Re: port schliessenTechnik via echtwahr.com23 Dec
RE: port schliessenMike Beck23 Dec