Método seguro para acessar o banco de dados hospedado do servidor do Amazon EC2

2

Eu tenho o banco de dados mysql hospedado no servidor Amazon EC2 e quero acessá-lo remotamente para fazer alterações nele. Como eu não tenho IP estático, não posso permitir IP específico no firewall para acesso seguro à porta 3306.

Existe alguma outra maneira de abrir o 3306 com segurança a partir da máquina remota? Uma solução pode ser a porta de tunelamento 3306 através do ssh, então qualquer outra solução de acesso seguro que tenhamos para acessar o 3306?

Obrigado

    
por Farhan 14.04.2012 / 16:59

3 respostas

2

O tunelamento SSH é provavelmente a opção mais fácil de configurar, já que não requer alterações na sua configuração do MySQL. É tão seguro quanto usar o suporte SSL integrado do MySQL.

Na sua estação de trabalho, basta executar:

$ ssh user@host -L3306:localhost:3306

Em seguida, conecte conectar ao localhost: 3306 e você estará tudo pronto. Você provavelmente precisará adicionar uma concessão para qualquer usuário com o qual você se conectará.

    
por 14.04.2012 / 20:50
1

Você pode achar útil a documentação do MySQL SSL:

link

No seu caso, eu recomendo usar pelo menos SSL do lado do servidor para proteger sua senha e seus dados, mas usar um certificado SSL do cliente (autoassinado e confiável no servidor) pode não ser uma má idéia.

Eu geralmente não recomendo autenticação baseada em host ou usando uma ACL baseada em host para proteger sua conexão com qualquer coisa, porque os IPs (e nomes DNS, como algumas pessoas usam!) podem ser falsificados e sequestrados, e você também Não é necessário acesso administrativo ao cliente confiável para comprometê-lo o suficiente, e geralmente essas coisas são mais fáceis de fazer do que comprometer uma chave privada razoavelmente longa. Além disso, se você não usar o SSL, estará vulnerável a ataques de farejamento de tráfego.

    
por 14.04.2012 / 17:11
0

Se você está falando sobre as instâncias de RDS da Amazon, você já pode ter as conexões usando SSL para conectar . Se você configurar seus usuários do BD adequadamente, também poderá torná-lo um requisito.

    
por 14.04.2012 / 21:39