Mysql защита

0

0

Имеется связка: Apache + php + mysql. На всем этом держится сайт, в качестве CMS - Joomla. Весь софт последних версий. Над безопастностью тоже поработал изрядно, начиная от ядра, кончая файером и chrootом. В общем сканирую сервер nmap,он выводит информацию - на порте 3306 висит mysql. Имеет ли смысл запретить всем коннектится на этот порт или нет? Если да,и мы сделаем это, то повлияет ли это на работу сайта? Спасибо. Эм еще вопрос: что лучше использовать в качестве анализатора вторжений, чтобы защищал от DoS, DDoS, Flood, сканирования и прочих нехороших.

Ссылка

← сломать пароль для root

Зашифрованные TrueCrypt данные не монтируются →

Лучше уж прописать skip-networking в /etc/my.cnf. Если вся связка работает на одном компьютере, то смысла держать открытым порт нет, поскольку оно всё равно может соединяться через именованный сокет ( типа /var/run/mysql/mysql.sock ). Может быть потребуется только разобраться с правами доступа к нему.

mk ☆
(02.06.07 18:56:52 MSK)

Ответ на: комментарий от mk 02.06.07 18:56:52 MSK

Хорошее решение. Спасибо mk. Будем пробовать. Насчет файеров: я так понимаю с ними напрочь в Linux туго. Про стандартные я знаю, но хотелось бы защиты основательной. Чтож поищу еще :)

anonymous
(02.06.07 19:03:36 MSK)

Ответ на: комментарий от anonymous 02.06.07 19:03:36 MSK

поставь и настрой snort

anonymous
(02.06.07 19:09:40 MSK)

Ответ на: комментарий от anonymous 02.06.07 19:09:40 MSK

Насколько я знаю snort не может защитить от DoS атак и его разновидностей. Есть другие предложения?

anonymous
(02.06.07 19:33:24 MSK)

Ответ на: комментарий от anonymous 02.06.07 19:33:24 MSK

syncookies включите

Chumka ★★★
(02.06.07 19:58:32 MSK)

Ссылка

Вот тут кое-что по теме. -
http://www.dos-attacks.com/html/stop_attacks.htm
http://www.cyberciti.biz/tips/linux-iptables-7-how-to-limit-the-number-of-inc...
http://www.vbulletin.com/forum/showthread.php?t=126699

MiracleMan ★★★★★
(03.06.07 11:35:56 MSK)

Ссылка

Ответ на: комментарий от anonymous 02.06.07 19:03:36 MSK

> Насчет файеров: я так понимаю с ними напрочь в Linux туго. Про стандартные я знаю, но хотелось бы защиты основательной. Чтож поищу еще :)

Ну-ну. Аутпоста не хватает?

anonymous
(03.06.07 14:16:22 MSK)

Ссылка

Для начала стоит убрать джумлу, а потом думать уже о всёх остальных защитах.

Deleted
(03.06.07 15:28:08 MSK)

Ссылка

> В общем сканирую сервер nmap,он выводит информацию - на порте 3306 висит mysql.

Просто повесь мускул только на локалхост.

~~Lumi~~ ★★★★★
(03.06.07 15:39:30 MSK)

Ответ на: комментарий от Lumi 03.06.07 15:39:30 MSK

PS: И ещё... прочитал исходное сообщение, уж не знаю смеяться или плакать над "над безопасностью тоже поработал изрядно", раз кроме пыха ничего не используется, то купи себе хостинг и спи спокойно.

~~Lumi~~ ★★★★★
(03.06.07 15:49:42 MSK)

Ссылка

Ответ на: комментарий от anonymous 02.06.07 19:03:36 MSK

> Насчет файеров: я так понимаю с ними напрочь в Linux туго

А если насчет мозгов, то не переходя на личности скажем: у некоторых с этим куда больший напряг, чем у линукса с файрволами... Так что марш читать местный FAQ.

~~no-dashi~~ ★★★★★
(03.06.07 17:20:43 MSK)

Ссылка

Ответ на: комментарий от anonymous 02.06.07 19:03:36 MSK

>Насчет файеров: я так понимаю с ними напрочь в Linux туго.

Для господ вин-админов фаервол - это окошечко, которое выскакивает на экране с надписью "программа svchost.exe пытается обратиться по адресу 212.122.1.2:53" и надо кликнуть мышкой "разрешить / запретить" ???

Тогда да. туговато. Провайдеры обычно не успевают кликой мышкой на магистральном канале.

ovax ★★★
(05.06.07 09:27:28 MSK)