MySQL-palvelinblogi

MySQL-ekosysteemissäsi voi olla yhdestä yli kymmeneen porttia. Se riippuu siitä, mitä olet ottanut käyttöön, mitä komponentteja käytät, miten sovelluksesi kytkeytyvät ja muista ympäristösi ominaisuuksista.

Turvallisuuden kannalta nämä portit on avattava juuri tarpeeksi laajalle, jotta eri komponentit, joiden pitäisi kommunikoida keskenään, voivat keskustella keskenään, mutta samalla ne estävät kaiken muun, joka yrittää murtautua sisään – tavoitteena on ”vähiten etuoikeuksia” -periaatteen noudattaminen. On selvää, että sinun ei pitäisi avata kaikkea, jotta saat asiat toimimaan, mutta myöhemmin huomaat, että olet jäänyt täysin avoimeksi ja hakkeroitu. Älä ole ”se ylläpitäjä tai DBA”.

Tietenkin se, miten estät ja avaat portteja asianmukaisilla sisään- ja ulostulosäännöillä, riippuu ympäristöstäsi – jossa sinulla on erilaisia työkaluja palomuureja, VPN:iä, käyttöjärjestelmien ominaisuuksia jne. Joidenkin asennuspakettiemme kanssa tavoitteenamme on olla oletusarvoisesti turvallinen sekä käytettävyys, ja autamme, mutta tyypillisesti vain kaikkein keskeisimpien porttien osalta. Esimerkiksi MySQL:n Windows-asennusohjelma lisää säännöt Windowsin palomuuriin tai Linux-paketit lisäävät säännöt SELinuxiin tai AppArmoriin.

Mutta harvinaisempien, valinnaisten tai ulkopuolisten tuotekohtaisten porttien osalta emme avaa niitä puolestasi paketeissamme, joten sinun on tehtävä se näissä tapauksissa itse. SELinuxin kaltaisilla komennoilla kuten

semanage port -a -t mysqld_port_t -p tcp <portti auki mysqld:lle>

Jokatapauksessa tässä blogissa tavoitteena on vain porttitietoisuus, joten halusin vain luetella ne, jotta ne tunnetaan ja ymmärretään suhteessa

  1. Mitä ne ovat
  2. Mikä niitä käyttää
  3. Missä niitä käytetään
  4. Milloin niitä käytetään
  5. Onko tiedonsiirto oletusarvoisesti salattua (Useimmissa tapauksissa kyllä)
  6. Käyttövaltuuksien rajoittaminen

Tämä viittaus koskee MySQL 5:tä.7 ja 8.0

Visuaalisesti se näyttää jotakuinkin tältä.
Tämä EI ole täydellinen viite – alla olevissa taulukoissa on täydellinen viite.

MySQL-portit (KLIKKAA KUVAN LAAJENNUSTA)

Tai kaikki yksityiskohdat löytyvät osoitteesta

  • Täydellinen MySQL-porttiviite – PDF

.

Ja kätevä MySQL PORT -pikaviittaustaulukko

MySQL-portit

.

.

Tekniikka Esimerkkiportti SSL|Enc Def. Required
Client – Server Connections
(msql client, connectors, mysqldump, mysqlpump)
MysQL-asiakas-palvelin – MySQL-protokolla – 3306 3306/tcp Y Y ellei käytä vain 33060
MySQL-asiakas palvelimelta palvelimelle – Uusi X-protokolla – 33060 33060/tcp Y Y ellei käytä vain 3306
MySQL Shell MySQL-asiakas palvelimelle – MySQL-protokolla – 3306 3306/tcp Y Y ellei vain 33060
MySQL-asiakas palvelimelta palvelimelle – Uusi X-protokolla – 33060 33060/tcp Y Y ellei vain 3306
Tarkistuksia varten, Shelliltä GR-palvelimelle InnoDB-klusterin konfiguroinnin aikana. 33061/tcp Y Y jos käytössä on InnoDB-klusteri
MySQL Workbench
MySQL-asiakas palvelimelle – MySQL-protokolla – 3306 3306/tcp Y Vapaaehtoinen – valitse vähintään 1
MySQL-asiakas palvelimelta palvelimelle – Uusi X-protokolla – 33060 33060/tcp Y Vapaaehtoinen -. valitse vähintään 1
Yhteydet SSH-tunnelin kautta 22/tcp Y Vaihtoehtoinen – valitse vähintään 1
Client – reititin yhteydet – >MySQL Client Mikä tahansa SQL reitittimeen – MySQL Protocol 6446/tcp Inherited Tarvitaan, jos reititin tarjoaa RW-käytön
MySQL-asiakas ReadOnly SQL reitittimeen – – MySQL Protocol 6447/tcp ”” Tarvitaan, jos reititin tarjoaa ReadOnly-käytön
MySQL Router to Server – MySQL Protocol 3306/tcp ”” Tarvitaan
MySQL-asiakas Kaikki API-kutsut reitittimelle – Uusi X-protokolla – 33060 6448/tcp ”” Tarvitaan, jos reititin tarjoaa RW-käytön
MySQL-asiakkaan ReadOnly-kutsut reitittimeen – Uusi X-protokolla – 33060 6449/tcp ”” Tarvitaan, jos reititin tarjoaa ReadOnly-käytön
MySQL:n Reititin palvelimelle – Uusi X-protokolla – 33060 33060/tcp ”” Tarvitaan
High Availability MySQL Group Replication sisäinen tietoliikenneportti- – 33061 33061/tcp Y Y
MySQL Replication 3306/tcp Y Y Y
Ulkoinen todennus *
MySQL:n yritystodennus ->. LDAP * 389/tcp Y Vain jos käytetään ulkoista todennusta LDAP:hen. Tukee myös SASL:n käyttöä
MySQL Enterprise Authentication – AD * 389/tcp Y Vain jos käytetään ulkoista todennusta LDAP:hen
Avaintenhallinta (TDE:lle, Keyring Functions jne.) *
KMIP – käytetään Oracle Key Vaultin, Gemalto KeySecuren, Thales Vormetric -avaintenhallintapalvelimen, Fornetix Key Orchestrationin kanssa * Vaihtelee, ks. avaintenhallinta-/holvi-kohtaiset asiakirjat. Y Tarvitaan vain, jos TDE käyttää KMIP-palvelinta
Key Services – AWS KMS * 443/tcp Y Tarvitaan vain, jos TDE käyttää AWS KMS:ää
MEB varmuuskopiointi
Kommunikoida paikalliseen instanssiin 3306/tcp Y Vaihtoehtoinen – can connect with tcp|socket|pipe|memory
Jos Innodb-klusterin/ryhmän replikointi 3306/tcp Y Tarvitaan InnoDB-klusterin varmuuskopiointia varten
Oracle-objekti. Store 443/tcp Y Vaihtoehtoinen
AWS S3 443/tcp Y Vaihtoehtoinen
Varmistus Media Manageriin (SBT API) * Vaihtelee – Katso varmuuskopioinnin mediamanagerikohtainen dokumentaatio Toimittajariippuvainen Vaihtoehtoinen

Vastaa

Sähköpostiosoitettasi ei julkaista.