MySQL-ekosysteemissäsi voi olla yhdestä yli kymmeneen porttia. Se riippuu siitä, mitä olet ottanut käyttöön, mitä komponentteja käytät, miten sovelluksesi kytkeytyvät ja muista ympäristösi ominaisuuksista.
Turvallisuuden kannalta nämä portit on avattava juuri tarpeeksi laajalle, jotta eri komponentit, joiden pitäisi kommunikoida keskenään, voivat keskustella keskenään, mutta samalla ne estävät kaiken muun, joka yrittää murtautua sisään – tavoitteena on ”vähiten etuoikeuksia” -periaatteen noudattaminen. On selvää, että sinun ei pitäisi avata kaikkea, jotta saat asiat toimimaan, mutta myöhemmin huomaat, että olet jäänyt täysin avoimeksi ja hakkeroitu. Älä ole ”se ylläpitäjä tai DBA”.
Tietenkin se, miten estät ja avaat portteja asianmukaisilla sisään- ja ulostulosäännöillä, riippuu ympäristöstäsi – jossa sinulla on erilaisia työkaluja palomuureja, VPN:iä, käyttöjärjestelmien ominaisuuksia jne. Joidenkin asennuspakettiemme kanssa tavoitteenamme on olla oletusarvoisesti turvallinen sekä käytettävyys, ja autamme, mutta tyypillisesti vain kaikkein keskeisimpien porttien osalta. Esimerkiksi MySQL:n Windows-asennusohjelma lisää säännöt Windowsin palomuuriin tai Linux-paketit lisäävät säännöt SELinuxiin tai AppArmoriin.
Mutta harvinaisempien, valinnaisten tai ulkopuolisten tuotekohtaisten porttien osalta emme avaa niitä puolestasi paketeissamme, joten sinun on tehtävä se näissä tapauksissa itse. SELinuxin kaltaisilla komennoilla kuten
semanage port -a -t mysqld_port_t -p tcp <portti auki mysqld:lle>
Jokatapauksessa tässä blogissa tavoitteena on vain porttitietoisuus, joten halusin vain luetella ne, jotta ne tunnetaan ja ymmärretään suhteessa
- Mitä ne ovat
- Mikä niitä käyttää
- Missä niitä käytetään
- Milloin niitä käytetään
- Onko tiedonsiirto oletusarvoisesti salattua (Useimmissa tapauksissa kyllä)
- Käyttövaltuuksien rajoittaminen
Tämä viittaus koskee MySQL 5:tä.7 ja 8.0
Visuaalisesti se näyttää jotakuinkin tältä.
Tämä EI ole täydellinen viite – alla olevissa taulukoissa on täydellinen viite.
Tai kaikki yksityiskohdat löytyvät osoitteesta
- Täydellinen MySQL-porttiviite – PDF
.
Ja kätevä MySQL PORT -pikaviittaustaulukko
MySQL-portit
| Tekniikka | Esimerkkiportti | SSL|Enc Def. | Required | ||||||
|---|---|---|---|---|---|---|---|---|---|
| Client – Server Connections (msql client, connectors, mysqldump, mysqlpump) |
|||||||||
| MysQL-asiakas-palvelin – MySQL-protokolla – 3306 | 3306/tcp | Y | Y ellei käytä vain 33060 | ||||||
| MySQL-asiakas palvelimelta palvelimelle – Uusi X-protokolla – 33060 | 33060/tcp | Y | Y ellei käytä vain 3306 | ||||||
| MySQL Shell | MySQL-asiakas palvelimelle – MySQL-protokolla – 3306 | 3306/tcp | Y | Y ellei vain 33060 | |||||
| MySQL-asiakas palvelimelta palvelimelle – Uusi X-protokolla – 33060 | 33060/tcp | Y | Y ellei vain 3306 | ||||||
| Tarkistuksia varten, Shelliltä GR-palvelimelle InnoDB-klusterin konfiguroinnin aikana. | 33061/tcp | Y | Y jos käytössä on InnoDB-klusteri | ||||||
| MySQL Workbench | |||||||||
| MySQL-asiakas palvelimelle – MySQL-protokolla – 3306 | 3306/tcp | Y | Vapaaehtoinen – valitse vähintään 1 | ||||||
| MySQL-asiakas palvelimelta palvelimelle – Uusi X-protokolla – 33060 | 33060/tcp | Y | Vapaaehtoinen -. valitse vähintään 1 | ||||||
| Yhteydet SSH-tunnelin kautta | 22/tcp | Y | Vaihtoehtoinen – valitse vähintään 1 | ||||||
| Client – reititin yhteydet – | >MySQL Client Mikä tahansa SQL reitittimeen – MySQL Protocol | 6446/tcp | Inherited | Tarvitaan, jos reititin tarjoaa RW-käytön | |||||
| MySQL-asiakas ReadOnly SQL reitittimeen – – MySQL Protocol | 6447/tcp | ”” | Tarvitaan, jos reititin tarjoaa ReadOnly-käytön | ||||||
| MySQL Router to Server – MySQL Protocol | 3306/tcp | ”” | Tarvitaan | ||||||
| MySQL-asiakas Kaikki API-kutsut reitittimelle – Uusi X-protokolla – 33060 | 6448/tcp | ”” | Tarvitaan, jos reititin tarjoaa RW-käytön | ||||||
| MySQL-asiakkaan ReadOnly-kutsut reitittimeen – Uusi X-protokolla – 33060 | 6449/tcp | ”” | Tarvitaan, jos reititin tarjoaa ReadOnly-käytön | ||||||
| MySQL:n Reititin palvelimelle – Uusi X-protokolla – 33060 | 33060/tcp | ”” | Tarvitaan | ||||||
| High Availability | MySQL Group Replication sisäinen tietoliikenneportti- – 33061 | 33061/tcp | Y | Y | |||||
| MySQL Replication | 3306/tcp | Y | Y | Y | |||||
| Ulkoinen todennus * | |||||||||
| MySQL:n yritystodennus ->. LDAP * | 389/tcp | Y | Vain jos käytetään ulkoista todennusta LDAP:hen. Tukee myös SASL:n käyttöä | ||||||
| MySQL Enterprise Authentication – AD * | 389/tcp | Y | Vain jos käytetään ulkoista todennusta LDAP:hen | ||||||
| Avaintenhallinta (TDE:lle, Keyring Functions jne.) * | |||||||||
| KMIP – käytetään Oracle Key Vaultin, Gemalto KeySecuren, Thales Vormetric -avaintenhallintapalvelimen, Fornetix Key Orchestrationin kanssa * | Vaihtelee, ks. avaintenhallinta-/holvi-kohtaiset asiakirjat. | Y | Tarvitaan vain, jos TDE käyttää KMIP-palvelinta | ||||||
| Key Services – AWS KMS * | 443/tcp | Y | Tarvitaan vain, jos TDE käyttää AWS KMS:ää | ||||||
| MEB varmuuskopiointi | |||||||||
| Kommunikoida paikalliseen instanssiin | 3306/tcp | Y | Vaihtoehtoinen – can connect with tcp|socket|pipe|memory | ||||||
| Jos Innodb-klusterin/ryhmän replikointi | 3306/tcp | Y | Tarvitaan InnoDB-klusterin varmuuskopiointia varten | ||||||
| Oracle-objekti. Store | 443/tcp | Y | Vaihtoehtoinen | ||||||
| AWS S3 | 443/tcp | Y | Vaihtoehtoinen | ||||||
| Varmistus Media Manageriin (SBT API) * | Vaihtelee – Katso varmuuskopioinnin mediamanagerikohtainen dokumentaatio | Toimittajariippuvainen | Vaihtoehtoinen |