Witam
1 .W zwiazku z licznymi atakami na mysql , chciałbym zabezpieczyc ja na iptables tak aby tylko adresy z zakresu np: 212.23.24.xxx mogly laczyc sie z portem 3306
Jakie regolki powinno miec iptables (chodzi mi o caly plik konfiguracyjny, nie bardzo orientuje sie w iptables) aby zabezpieczyc w ten sposob baze?
2. Zakladajac ze host ktory sie bedzie laczyl z baza danych ma zmienne IP czy mozna bezpiecznie zrobic cos takiego aby host co pewien czas np ftp wysylal plik textowy ze swoim IP , nastepnie cron na serwerze ze baza myslq podmieni konfiguracje iptables z uwzglednieniem nowego adresu Ip hosta i przeladuje iptables?
3. w jaki najbezpieczniejszy sposob moznaby przeslac zawartosc takiego pliku z IP ? obecnie mam ssh i vsftpd ? Jakie najbezpieczniejsze techniki mozna tu wykorzystac aby nikt nie "podsluchal" zawartosci wysylanego pliku?
zabezpeczenie firewallem bazy mysql wystawionej do internetu
Najpierw dajesz:1 .W zwiazku z licznymi atakami na mysql , chciałbym zabezpieczyc ja na iptables tak aby tylko adresy z zakresu np: 212.23.24.xxx mogly laczyc sie z portem 3306
Jakie regolki powinno miec iptables (chodzi mi o caly plik konfiguracyjny, nie bardzo orientuje sie w iptables) aby zabezpieczyc w ten sposob baze?
Kod: Zaznacz cały
iptables -F
iptables -X
iptables -t mangle -F
iptables -t mangle -X
#domyślna polityka DROP
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT
#teraz pozwalasz [color=#333333]212.23.24.xxx na dostęp do 3306[/color]
iptables -A INPUT -p tcp -s [color=#333333]212.23.24.xxx/24[/color] --dport 3306 -j ACCEPTNim wykonasz całość jaką podał redgist zapoznaj się dokładnie co robi dana reguła, bo jeśli masz tylko zdalny dostęp do tej maszyny to się odetniesz - stracisz do niej dostęp.
Najsensowniej, to zrób tunel pomiędzy tymi maszynami.edgar5 pisze: 2. Zakladajac ze host ktory sie bedzie laczyl z baza danych ma zmienne IP czy mozna bezpiecznie zrobic cos takiego aby host co pewien czas np ftp wysylal plik textowy ze swoim IP , nastepnie cron na serwerze ze baza myslq podmieni konfiguracje iptables z uwzglednieniem nowego adresu Ip hosta i przeladuje iptables?
Tunel to dobry pomysł, ale szybciej wpisać regułę iptables.Najsensowniej, to zrób tunel pomiędzy tymi maszynami.
Co do odcięcia się no to fakt... z tym, że ja nie miałem namyśli wklepania reguły bez zastanowienia się. Tylko świadome użycie.
Aby sobie nie odciąć ssh na standardowym porcie:
Kod: Zaznacz cały
iptables -A INPUT -p tcp -s [color=#333333]212.23.24.xxx/24[/color] --dport 22 -j ACCEPT
A jak będziesz pod innym IP to nie będziesz mógł sie dostać do ssh? Troche to beznadziejne rozwiązanie. Lepiej zmienić port działania usługi na cztero-pięciocyfrowy zamiast 22. Co od razu wyklucza mase ataków na ssh na standardowym porcie.
Musisz sobie napisac taki skrypt, wykorzystac do tego crona. Do przesyłania plików wykorzystac scp/ssh jeśli chcesz już sie bawić w wysyłanie plików z klonfiguracjami
Musisz sobie napisac taki skrypt, wykorzystac do tego crona. Do przesyłania plików wykorzystac scp/ssh jeśli chcesz już sie bawić w wysyłanie plików z klonfiguracjami