Oferece algum benefício de segurança para alterar a porta tcp padrão do MySQL?

4

O título tem tudo, a prática recomendada em servidores de produção é alterar a porta padrão?

    
por DTest 12.01.2011 / 16:14

3 respostas

8

Outros neste sistema (e em outros lugares) me convenceram de que não há nada necessariamente errado com a segurança através da obscuridade, mas deve nunca ser sua única linha de defesa.

Execute-o em outra porta, mas não deixe que ele impeça o firewall de forma agressiva, garantindo que apenas senhas strongs sejam usadas e envolvendo a conexão em SSL ou (melhor) uma VPN, se sistemas externos precisarem conectar-se ao seu serviço MySQL através da Internet pública.

Se a sua única defesa for executá-lo em uma porta não-padrão, alguém que estiver executando um scanner de porta irá encontrá-lo mais cedo ou mais tarde (provavelmente mais cedo), e suas defesas serão escondidas.

    
por 12.01.2011 / 16:21
4

Estar em uma porta não padrão protege você contra scripts de força bruta que assumem a porta padrão, mas:

  • Isso não protege contra scripts que fazem uma varredura de porta ou similar para ver se o mysql está escutando em algum lugar diferente da porta padrão, ou algo que consegue capturar a porta certa para tentar a partir de informações em outro lugar
  • Se o seu servidor de banco de dados estiver atuando apenas para um aplicativo (ou seja, ele está servindo aplicativos da Web, não diretamente a usuários), nada além das máquinas do servidor da Web deve ser capaz de se conectar: verifique se a porta que está sendo executada é protegido de modo que apenas os poucos hosts que devem se conectar possam se conectar
  • Se usuários que não são usuários do aplicativo precisam se conectar, boas políticas de senha e permissões gerenciadas corretamente são necessárias (e talvez apenas permitam que elas se conectem em um túnel VPN ou SSH em vez de abrir a porta mysql na rede mais ampla)

Fazê-lo em uma porta não padrão não causa nenhum dano, mas a menos que a outra segurança esteja em vigor, ela não faz muito bem (na melhor das hipóteses aumenta a quantidade de tempo entre hacks bem-sucedidos em vez de remover o risco) e com a outra segurança no local se movendo para uma porta diferente não será necessária.

    
por 12.01.2011 / 16:50
1

Não.

A segurança do SQL vem de

  • privilégios de usuário bem ajustados
  • Firewall para redes que não precisam de acesso a portas MySQL

etc.

    
por 12.01.2011 / 16:22