MySQLd에 대한 네트워킹을 켜야하지만, 매번 서버가 망각에 빠지게됩니다. 비밀번호 추측 스크립트는 서버에서 망치질을 시작하여 포트 3306에서 연결을 열고 임의의 비밀번호를 영원히 시도합니다.
이 문제가 발생하는 것을 어떻게 막을 수 있습니까?
SSH의 경우 denyhosts를 사용합니다. 거부 호스트가 MySQLd에서 작동하도록하는 방법이 있습니까?
또한 MySQL이 실행되는 포트를 변경하는 것을 고려했지만 이것은 이상적이지 않으며 스톱 갭 솔루션 (새로운 포트를 발견하면 어떻게됩니까?)
다른 아이디어가 있습니까?
다른 경우, FreeBSD 6.x에서 MySQL 5.x를 실행하고 있습니다.
답변:
MySQL 용 denyhosts와 같은 소프트웨어 패키지는 모르지만 몇 가지 솔루션이 있습니다.
편집 :
귀하의 의견에 대답하려면 다음을 시도하십시오 .
iptables -A INPUT -p tcp -s 202.54.1.50 --sport 1024:65535 -d 202.54.1.20 --dport 3306 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -p tcp -s 202.54.1.20 --sport 3306 -d 202.54.1.50 --dport 1024
여기서 .20은 MySQL이고 .50은 원격 연결 IP 주소입니다.
1 : 포트를 3306에서 변경하십시오. 보안 향상을 위해가 아니라 잘못된 로그인 공격을 처리하기 위해 서버를로드해야합니다.
2 : SSL 인증서를 작성하고 MySQL 서버에서 활성화하십시오 (어쨌든 클라이언트-서버 연결을 암호화해야합니다)
3 : 하나 이상의 클라이언트 인증서를 만듭니다 (모든 클라이언트에 인증서가 필요하고이를 사용하도록 클라이언트 소프트웨어를 구성해야 함). 클라이언트가 .Net 인 경우 클라이언트 인증서를 pkcs12 형식으로 변환해야하지만 쉽게 수행 할 수 있습니다 . 이 안내서를 참조하십시오 .
4 : MySQL 사용자 계정에 x509 클라이언트 인증서가 필요하도록 설정 한 다음 공격자는 로그인 자격 증명과 클라이언트 인증서가 모두 필요합니다 (클라이언트 인증서에 암호를 입력 할 수도 있고 공격자도이를 필요로합니다).
내가 사용 이 인증서와 키 파일을 만들기 위해 가이드를하지만, 거기 많은 가이드가있다.
클라이언트 액세스가 아닌 관리 목적으로 Linux 상자에 액세스하기 위해 SSH 연결 만 사용하는 것이 좋습니다.
MySQL 프록시를 사용하면 연결 요청이 승인되지 않은 IP 범위에서 온 경우 사용자 / 패스 조합이 필요하지만 로그인을 처리하기 위해 X 초 동안 대기하는 작은 LUA 스크립트를 작성할 수 있습니다.
세 번의 시도 실패 후 IP 범위를 블랙리스트하기 위해 LUA 스크립트에 약간의 추가 로직을 추가 할 수 있습니다.
대체로 기술적으로는 가능하지만 SSH 또는 VPN을 통해 공통의 허용 된 (FW 또는 기타 수단을 통해) IP 범위로 터널링하는 다른 권장 사항을 따르겠습니다.
보안 호스트에서만 mysqld 포트에 액세스 할 수없는 이유는 무엇입니까?
문제에 대한 실질적인 해결책은 아니지만 다른 포트에서 서버를 실행하는 경우 도움이 될 수 있습니다. 대부분의 스캔 봇은 3306 만 검사하도록 프로그래밍되어있을 것입니다. 문제를 해결하지는 않지만 포트를 변경하면 스캔 횟수가 훨씬 줄어 듭니다.