MySQL Server Blog

Der kan være fra én til over ti porte, der bruges i dit MySQL-økosystem. Det afhænger virkelig af, hvad du har aktiveret, hvilke komponenter du bruger, hvordan dine applikationer forbinder og andre karakteristika ved dit miljø.

Fra et sikkerhedsmæssigt synspunkt skal disse porte åbnes lige bredt nok til at tillade de forskellige komponenter, der skal kommunikere, at tale sammen, mens de blokerer for alt andet, der forsøger at hacke sig ind – målet er at håndhæve sikkerhedsprincippet om “mindste privilegier”. Det er klart, at man ikke skal åbne alt for at få tingene til at fungere, for så senere at opdage, at man har efterladt sig selv helt udsat og er blevet hacket. Lad være med at være “That Admin or DBA”.

Det afhænger naturligvis af dit miljø, hvordan du blokerer og åbner porte med korrekte ind- og udgangsregler – hvor du har forskellige værktøjer firewalls, VPN’er, operativsystemers muligheder osv. Med nogle af vores installationspakker er vores mål at være sikre som standard såvel som brugervenlighed, og vi vil hjælpe, men typisk kun for de mest centrale porte. For eksempel vil MySQL Windows-installationsprogrammet for Windows tilføje regler til Windows-firewallen, eller Linux-pakkerne tilføjer regler til SELinux eller AppArmor.

Men for mindre almindelige, valgfrie eller eksterne produktspecifikke porte åbner vi dem ikke for dig i vores pakker, så du skal selv gøre det i de tilfælde. Med kommandoer som den til SELinux som

semanage port -a -t mysqld_port_t -p tcp <port åben for mysqld>

Og for denne blog er målet dog bare portkendskab, så jeg ville bare liste dem op for at sikre mig, at de er kendt og forstået i forhold til

  1. Hvad de er
  2. Hvad bruger dem
  3. Når de bruges
  4. Er kommunikationen krypteret som standard (Ja i de fleste tilfælde)
  5. Begrænsning af adgang

Denne reference gælder for MySQL 5.7 og 8.0

Visuelt ser det nogenlunde sådan her ud.
Dette er IKKE en fuld reference – tabellerne nedenfor indeholder den fulde reference.

MySQL Ports (KLIK FOR AT UDVIDE BILLEDET)

Og for alle detaljer se

  • Detaileret MySQL Ports Reference – PDF

Og en praktisk MySQL PORT quick reference tabel

MySQL Ports

Technology Default Port SSL|Enc Def. Krævet
Klient – Serverforbindelser
(msql-klient, konnektorer, mysqldump, mysqlpump)
MySQL klient til server – MySQL-protokol – 3306 3306/tcp Y Y medmindre der blot anvendes 33060
MySQL Client to Server – New X Protocol – 33060 33060/tcp Y Y Y medmindre der blot anvendes 3306
MySQL Shell
MySQL Client to Server – MySQL-protokol – 3306 3306/tcp Y Y medmindre der blot anvendes 33060
MySQL Client to Server – New X Protocol – 33060 33060/tcp Y Y Y medmindre der blot anvendes 3306
Til kontrol, fra Shell til GR-server under InnoDB-klyngekonfigurationen. 33061/tcp Y Y hvis der køres InnoDB Cluster
MySQL Workbench
MySQL Client to Server – MySQL-protokol – 3306 3306/tcp Y Optionel – vælg mindst 1
MySQL-klient til server – Ny X-protokol – 33060 33060/tcp Y Optionel – Vælg mindst 1
Optionerligt – Forbindes via SSH-tunnel 22/tcp Y Optionel – Vælg mindst 1
Klient – Routerforbindelser –
MySQL-klient Any SQL til Router – MySQL-protokol 6446/tcp Inherited Kræves, hvis routeren giver RW-adgang
MySQL-klient ReadOnly SQL til routeren – MySQL-protokol 6447/tcp “” Kræves, hvis Router giver ReadOnly-adgang
MySQL Router til server – MySQL-protokol 3306/tcp “” Krævet
MySQL-klient Eventuelle API-opkald til router – Ny X-protokol – 33060 6448/tcp “” Krævet, hvis routeren giver RW-adgang
MySQL-klient ReadOnly-kald til router – ny X-protokol – 33060 6449/tcp “” Kræves, hvis router giver ReadOnly-adgang
MySQL Router til server – ny X-protokol – 33060 33060/tcp “” Krævet
Høj tilgængelighed
MySQL Group Replication intern kommunikationsport – 33061 33061/tcp Y Y
MySQL Replication 3306/tcp Y Y Y Y
Ekstern autentifikation *
MySQL Enterprise Authentication – LDAP * 389/tcp Y Kun hvis der anvendes ekstern autentificering til LDAP. Understøtter også brug af SASL
MySQL Enterprise Authentication – AD * 389/tcp Y Kun hvis der anvendes ekstern autentificering til LDAP
Nøgleforvaltning (for TDE, Keyring-funktioner osv.) *
KMIP – anvendes sammen med Oracle Key Vault, Gemalto KeySecure, Thales Vormetric key management server, Fornetix Key Orchestration * Varierer, se den specifikke dokumentation for key manager/vault. Y Kræves kun, hvis TDE bruger en KMIP-server
Nøgletjenester – AWS KMS * 443/tcp Y Kræves kun, hvis TDE bruger AWS KMS
MEB backup
Kommunikere til lokal instans 3306/tcp Y Optionel – kan oprette forbindelse med tcp|socket|pipe|memory
Hvis Innodb Cluster/Group Replication 3306/tcp Y Krævet for InnoDB Cluster Backup
Oracle Object Store 443/tcp Y Optional
AWS S3 443/tcp Y Optional
Backup til Media Manager (SBT API) * Varierer – Se specifik dokumentation for sikkerhedskopiering til mediehåndtering Vendorafhængig Optionel

Skriv et svar

Din e-mailadresse vil ikke blive publiceret.