A MySQL ökoszisztémában egytől több mint tíz portig terjedhet a használatuk. Ez attól függ, hogy mit engedélyezett, milyen komponenseket használ, hogyan csatlakoznak az alkalmazások, és a környezet egyéb jellemzőitől.
Biztonsági szempontból ezeket a portokat éppen elég szélesre kell nyitni ahhoz, hogy a különböző kommunikálni kívánó komponensek beszélhessenek egymással, miközben kizárnak minden mást, ami megpróbálja feltörni az utat – a cél a “legkisebb kiváltság” biztonsági elvének érvényesítése. Nyilvánvaló, hogy nem szabad mindent megnyitni, hogy a dolgok működjenek, csak azért, hogy később rájöjjünk, hogy teljesen kiszolgáltatottá váltunk és feltörtük magunkat. Ne legyen “az a rendszergazda vagy DBA”.
Az, hogy hogyan blokkolja és nyitja meg a portokat megfelelő be- és kilépési szabályokkal, természetesen a környezetétől függ – ahol különböző eszközökkel rendelkezik tűzfalak, VPN-ek, operációs rendszerek képességei stb. Néhány telepítőcsomagunkkal a célunk az alapértelmezett biztonság és a használhatóság mellett, és segítünk, de jellemzően csak a legalapvetőbb portoknál. Például a MySQL Windows telepítője szabályokat ad a Windows tűzfalhoz, vagy a Linux csomagok szabályokat adnak a SELinuxhoz vagy az AppArmorhoz.
A kevésbé gyakori, opcionális vagy külső termék specifikus portokat azonban nem nyitjuk meg Önnek a csomagjainkban, így ezekben az esetekben ezt Önnek magának kell megtennie. A SELinuxhoz hasonló parancsokkal, mint például
semanage port -a -t mysqld_port_t -p tcp <port open to mysqld>
Mindenesetre ebben a blogban a cél csak a portok ismerete, így csak azért akartam felsorolni őket, hogy biztosan ismertek és érthetőek legyenek a következőkhöz képest
- Mik ezek
- Mi használja őket
- Mikor használják őket
- A kommunikáció alapértelmezés szerint titkosított (a legtöbb esetben igen)
- A hozzáférés korlátozása
Ez a hivatkozás a MySQL 5-re vonatkozik.7 és 8.0
Vizuálisan valahogy így néz ki.
Ez NEM egy teljes hivatkozás – az alábbi táblázatok tartalmazzák a teljes hivatkozást.
Vagy az összes részletet lásd
- Detailed MySQL Ports Reference – PDF
.
És egy praktikus MySQL PORT gyorsreferencia táblázat
MySQL Ports
Technológia | Default Port | SSL|Enc Def. | Required | |||
---|---|---|---|---|---|---|
Client – Server Connections (msql client, connectors, mysqldump, mysqlpump) |
||||||
MysQL kliens és szerver – MySQL protokoll – 3306 | 3306/tcp | Y | Y, kivéve ha csak a 33060 | |||
MySQL kliens a szerverhez – Új X protokoll – 33060 | 33060/tcp | Y | Y | Y, hacsak nem csak a 3306 | ||
MySQL Shell | ||||||
MySQL Client to Server – MySQL protokoll – 3306 | 3306/tcp | Y | Y, hacsak nem csak a 33060 | |||
MySQL Client to Server – New X Protocol – 33060 | 33060/tcp | Y | Y, hacsak nem csak a 3306 | |||
Az ellenőrzésekhez, Shellből a GR szerverre az InnoDB fürt konfigurálása során. | 33061/tcp | Y | Y, ha InnoDB fürtöt futtat | |||
MySQL Workbench | ||||||
MySQL Client to Server – MySQL protokoll – 3306 | 3306/tcp | Y | Választható – válasszon legalább 1 | |||
MySQL kliens a szerverhez – Új X protokoll – 33060 | 33060/tcp | Y | Választható. pick at least 1 | |||
Connects via SSH Tunnel | 22/tcp | Y | Optional – válasszon legalább 1 | |||
Kliens – Router kapcsolatok – | ||||||
MySQL Client Any SQL to Router – MySQL Protocol | 6446/tcp | Inherited | Szükséges, ha a Router RW hozzáférést biztosít | |||
MySQL Client ReadOnly SQL a Routerhez – – MySQL protokoll | 6447/tcp | “” | Szükséges, ha a Router ReadOnly hozzáférést biztosít | |||
MySQL Router to Server – MySQL protokoll | 3306/tcp | “” | Szükséges | |||
MySQL kliens Bármilyen API hívás a Routernek – Új X protokoll – 33060 | 6448/tcp | “” | Szükséges, ha Router RW hozzáférést biztosít | |||
MySQL ügyfél ReadOnly hívások a Routerhez – Új X protokoll – 33060 | 6449/tcp | “” | Szükséges, ha a Router ReadOnly hozzáférést biztosít | |||
MySQL Router a szerverhez – Új X protokoll – 33060 | 33060/tcp | “” | Szükséges | |||
Nagyfokú rendelkezésre állás | ||||||
MySQL Group Replication belső kommunikációs port – 33061 | 33061/tcp | Y | Y | |||
MySQL Replikáció | 3306/tcp | Y | Y | Y | ||
Külső hitelesítés * | ||||||
MySQL Enterprise Authentication – LDAP * | 389/tcp | Y | Kizárólag az LDAP külső hitelesítés használata esetén. Támogatja a SASL | |||
MySQL Enterprise Authentication használatát is | ||||||
MySQL Enterprise Authentication – AD * | 389/tcp | Y | Kizárólag az LDAP felé történő külső hitelesítés használata esetén | |||
Key Management (a TDE, Keyring Functions, stb.) * | ||||||
KMIP – Oracle Key Vault, Gemalto KeySecure, Thales Vormetric kulcskezelő szerver, Fornetix Key Orchestration * | Változó, lásd a kulcskezelő/tárhely specifikus dokumentációt. | Y | Kizárólag akkor szükséges, ha a TDE KMIP-kiszolgálót használ | |||
Kulcsszolgáltatások – AWS KMS * | 443/tcp | Y | Kizárólag akkor szükséges, ha a TDE AWS KMS-t használ | |||
MEB backup | ||||||
Kommunikáció a helyi példányhoz | 3306/tcp | Y | Választható – tcp|socket|pipe|memory | |||
Ha Innodb Cluster/Group Replication | 3306/tcp | Y | Required for InnoDB Cluster Backup | |||
Oracle Object Store | 443/tcp | Y | Optional | |||
AWS S3 | 443/tcp | Y | Optional | |||
Backup to Media Manager (SBT API) * | Változó – Lásd a biztonsági mentés médiakezelőspecifikus dokumentációját | Szállítófüggő | Előleges |