Protegendo um servidor Linux simples que contém um banco de dados MySQL?

Navegue suas respostas
0

Uma pergunta básica, mas examinei muitas perguntas neste site e não encontrei uma resposta simples e direta:

Estou configurando um servidor Linux rodando o Ubuntu para armazenar um banco de dados MySQL.

É importante que este servidor seja o mais seguro possível, tanto quanto eu saiba que minhas principais preocupações devem ser ataques DoS / DDoS de entrada e acesso não autorizado ao próprio servidor.

O servidor de banco de dados recebe apenas dados de entrada de um IP específico (101.432.XX.XX), na porta 3000. Eu só quero que esse servidor possa receber solicitações de entrada desse IP, bem como impedir que o servidor faça quaisquer solicitações de saída.

Eu gostaria de saber:

  1. Qual é a melhor maneira de impedir que meu servidor de banco de dados faça solicitações de saída e receba solicitações de entrada apenas a partir de 101.432.XX.XX? Fechando todos os portos ex. 3000 ser útil para alcançar isso?
  2. Existem outras adições ao ambiente linux que podem aumentar a segurança? Tomei medidas muito básicas para proteger meu portal phpmyadmin (vinculado ao banco de dados MySQL), como restringir o acesso apenas ao meu endereço IP pessoal. Para acessar o servidor de banco de dados, é necessário usar a chave SSH (que é protegida por senha).
por Babra Cunningham 14.01.2017 / 14:59

2 respostas

4

Para fechar todas as conexões indesejadas de entrada e saída, você pode usar iptables como um firewall para fazer o trabalho, aqui está um exemplo: 

# To make sure that you have ssh access to the server
iptables -t filter -A INPUT -p tcp -s 101.432.XX.XX --dport 22   -j ACCEPT
# Allowing only your ip to connect to the server via specific port
iptables -t filter -A INPUT -p tcp -s 101.432.XX.XX --dport 3000 -j ACCEPT
# Drop any other requests
iptables -t filter -A INPUT -j DROP

Isso foi apenas um exemplo, você quase pode fazer o que quiser com iptables para segurança.

Para proteger seu servidor contra DoS/DDoS , eu recomendaria csf como uma ferramenta de firewall, ele pode fornecer uma boa proteção contra vários tipos de ataques, para obter mais informações sobre csf , verifique isso: link

    
por 14.01.2017 / 15:19
3

Algumas instalações também oferecem uma ferramenta para "endurecer" o banco de dados: 

sudo mysql_secure_installation

Isso permite que você defina uma nova senha de root, removendo usuários anônimos, não permitindo login de raiz remota e muito mais.

    
por 14.01.2017 / 19:49

Tags

Como faço para grep second last ou nth last character de cada linha de arquivo Substituição rápida de strings em diretórios recursivos