MySQL Server Blog

Il pourrait y avoir de un à plus de dix ports utilisés dans votre écosystème MySQL. Cela dépend vraiment de ce que vous avez activé, des composants que vous utilisez, de la façon dont vos applications se connectent et d’autres caractéristiques de votre environnement.

D’un point de vue sécurité, ces ports doivent être ouverts juste assez largement pour permettre aux différents composants qui doivent communiquer de parler tout en bloquant tout ce qui essaie de pirater son chemin – le but étant d’appliquer le principe de sécurité du « moindre privilège ». Il est évident que vous ne devez pas tout ouvrir pour que les choses fonctionnent, pour découvrir plus tard que vous vous êtes laissé entièrement exposé et piraté. Ne soyez pas « cet administrateur ou DBA ».

Bien sûr, la façon dont vous bloquez et ouvrez les ports avec des règles d’entrée et de sortie appropriées dépend de votre environnement – où vous avez divers outils pare-feu, VPN, capacités des systèmes d’exploitation, etc. Avec certains de nos paquets d’installation, notre objectif est d’assurer la sécurité par défaut ainsi que la convivialité, et nous vous aiderons, mais généralement uniquement pour les ports les plus essentiels. Par exemple, l’installateur MySQL Windows ajoutera des règles au pare-feu Windows, ou les paquets Linux ajouteront des règles à SELinux ou AppArmor.

Par contre, pour les ports moins courants, optionnels ou spécifiques à un produit externe, nous ne les ouvrons pas pour vous dans nos paquets, vous devrez donc le faire vous-même dans ces cas-là. Avec des commandes comme celle pour SELinux comme

semanage port -a -t mysqld_port_t -p tcp <port ouvert à mysqld>

De toute façon, pour ce blog, le but est juste la sensibilisation aux ports, donc je voulais juste les énumérer pour être sûr qu’ils sont connus et compris par rapport à

  1. Ce qu’ils sont
  2. Qui les utilise
  3. Quand ils sont utilisés
  4. La communication est-elle cryptée par défaut (Oui dans la plupart des cas)
  5. Limiter l’accès

Cette référence s’applique à MySQL 5.7 et 8.0

Visuellement, cela ressemble à quelque chose comme ça.
Ce n’est PAS une référence complète – les tableaux ci-dessous fournissent la référence complète.

Ports MySQL (CLIQUEZ POUR EXPANSIER L’IMAGE)

Ou pour tous les détails voir

  • Référence détaillée des ports MySQL – PDF

.

Et un tableau pratique de référence rapide des ports MySQL

Ports MySQL

.

. choisissez au moins 1

.

.

.

.

Technologie Port par défaut SSL|Enc Def. Required
Client – Connexions au serveur
(client msql, connecteurs, mysqldump, mysqlpump)
Client MySQL au serveur – Protocole MySQL – 3306 3306/tcp Y Y à moins d’utiliser simplement 33060
MySQL Client to Server – New X Protocol – 33060 33060/tcp Y Y sauf si on utilise 3306
MySQL Shell
MySQL Client à Serveur – Protocole MySQL – 3306 3306/tcp Y Y à moins d’utiliser 33060
Client MySQL vers serveur – Nouveau protocole X – 33060 33060/tcp Y Y à moins d’utiliser 3306
Pour les vérifications, du Shell au serveur GR pendant la configuration du cluster InnoDB. 33061/tcp Y Y si exécution du cluster InnoDB
MySQL Workbench
MySQL Client à Server – Protocole MySQL – 3306 3306/tcp Y Optionnel – choisissez-en au moins 1
Client MySQL vers serveur – Nouveau protocole X – 33060 33060/tcp Y Optionnel – choisissez-en au moins 1 Tcp
Connexion via un tunnel SSH 22/tcp Y Optionnel – choisir au moins 1
Connexions Client – Routeur –
MySQL Client Tout SQL vers Routeur – Protocole MySQL 6446/tcp Inhérité Requise si le routeur fournit un accès RW
Client MySQL SQL en lecture seule vers le routeur – Protocole MySQL 6447/tcp «  » Requérant si le routeur fournit un accès en lecture seule
Routeur MySQL vers le serveur – Protocole MySQL 3306/tcp «  » Required
Client MySQL Tout appel API au routeur – Nouveau protocole X – 33060 6448/tcp «  » Required si le routeur fournit un accès RW
Appels en lecture seule du client MySQL vers le routeur – Nouveau protocole X – 33060 6449/tcp «  » Requise si le routeur fournit un accès en lecture seule
MySQL Routeur vers serveur – Nouveau protocole X – 33060 33060/tcp «  » Required
Haute disponibilité
Le port de communication interne de la réplication du groupe MySQL – 33061 33061/tcp Y Y
MySQL Replication 3306/tcp Y Y
Authentification externe *
MySQL Enterprise Authentication – LDAP * 389/tcp Y Uniquement si l’on utilise l’authentification externe à LDAP. Prend également en charge l’utilisation de SASL
MySQL Enterprise Authentication -. AD * 389/tcp Y Uniquement si l’on utilise l’authentification externe à LDAP
Gestion des clés (pour TDE, Keyring Functions, etc) *
KMIP – utilisé avec Oracle Key Vault, Gemalto KeySecure, Thales Vormetric key management server, Fornetix Key Orchestration * Varies, Voir la documentation spécifique au gestionnaire de clés/à la chambre forte. Y Uniquement requis si TDE utilise un serveur KMIP
Services de clés -. AWS KMS * 443/tcp Y Uniquement requis si TDE utilise AWS KMS
Sauvegarde de la BEM
Communiquer avec l’instance locale 3306/tcp Y Optionnel – peut se connecter avec tcp|socket|pipe|mory
Si la réplication du cluster/groupe Innodb 3306/tcp Y Requise pour la sauvegarde du cluster InnoDB
Oracle Object Store 443/tcp Y Optionnel
AWS S3 443/tcp Y Optionnel
Sauvegarde vers le gestionnaire de médias (API SBT) * Varie – Voir la documentation spécifique au gestionnaire de médias de sauvegarde Dépendant du fournisseur Optionnel

.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.