Técnicas de firewall do Linux: MySql-Account

1

Estou tendo uma discussão com um desenvolvedor de software no meu próximo. Ele está usando conexões diretas do MySql para um software. Não há nenhum PHP / SSH / whatever-Bridge envolvido na comunicação, nem na inicialização, durante a execução ou antes do logout. O software vai do login da conta ao gerenciamento e assim por diante.

Como você deve saber, os dados da conta podem ser lidos por algum software de hackers, por exemplo Cheat Engine Esse é o ponto que discutimos depois de criar uma interface somente leitura baseada na Web para alguns dados desse banco de dados. Não há segurança e todos podem acessar e fazer com que os dados (endereços de e-mail, senhas: infelizmente apenas md5) sejam o que eles querem.

Agora ele me disse que ele configurou o firewall e o servidor mysql para I get mails from non-software (like my web interface) accesses to this database and an automatic backup . Agora ele está chorando sobre um firewall quebrado e um servidor de email sobrecarregado.

Editar:

É um Debian-76-wheezy-64-LAMP

Minha pergunta é: isso é possível?

Minha mente: Não, não é como o cliente (com cerca de 40 usuários) tem sempre outro IP e está logando na mesma conta mysql que na minha interface web. Ele está usando essa tática para desaprovar reclamações sobre os problemas de segurança mencionados.

Aprecio qualquer ajuda sobre essa questão.

Um pequeno gráfico:

    
por Dennis Ziolkowski 07.11.2014 / 20:07

1 resposta

0

Eu não sei qual plataforma e & versão que você está usando

Mas

TCP Wrappers pode ajudar

Edite seu arquivo /etc/hosts.allow

#first Allow all local connections
ALL: 127.0.0.1 

#allow ssh Access to IPs this is important as you need to allow some users to login via ssh
sshd: 1.1.1.1
sshd: 2.2.2.2

#change above Ips to your need then only those will have ssh access

#Allow mysqld access i.e port 3306 to limited users
mysqld: 1.1.1.1
mysqld: 2.2.2.2

#change above Ips to your need then only those will have ssh access

Em /etc/hosts.deny

ALL:ALL
#this will deny everything else

No arquivo hosts.allow, você pode adicionar outros serviços, como proftpd, httpd, sendmail, acesso a apenas usuários limitados & tem um controle melhor.

    
por 07.11.2014 / 20:58