Er kunnen een tot meer dan tien poorten gebruikt worden binnen uw MySQL ecosysteem. Het hangt echt af van wat u hebt ingeschakeld, welke componenten u gebruikt, hoe uw applicaties verbinding maken, en andere kenmerken van uw omgeving.
Vanuit een veiligheidspunt, moeten deze poorten net ver genoeg worden geopend om de verschillende componenten die moeten communiceren in staat te stellen om te praten, terwijl het blokkeren van alles wat anders probeert te hacken zijn weg naar binnen – het doel is om het veiligheidsprincipe van “least privilege” af te dwingen. Wat je uiteraard niet moet doen is alles openen om dingen werkend te krijgen, om later te ontdekken dat je jezelf volledig blootgesteld en gehackt hebt. Wees niet “die Admin of DBA”.
Hoe u poorten blokkeert en opent met de juiste ingaande en uitgaande regels hangt natuurlijk af van uw omgeving – waar u verschillende tools firewalls, VPN’s, besturingssystemen mogelijkheden, enz. heeft. Met sommige van onze installatiepakketten is ons doel om zowel standaard veilig als bruikbaar te zijn, en we zullen assisteren, maar typisch alleen voor de meest belangrijke poorten. Bijvoorbeeld, de MySQL Windows installer zal regels toevoegen aan de Windows firewall, of de Linux pakketten voegen regels toe aan SELinux of AppArmor.
Maar voor minder gebruikelijke, optionele, of externe productspecifieke poorten, openen we ze niet voor u in onze pakketten, dus u zult dit zelf moeten doen in die gevallen. Met commando’s zoals die voor SELinux zoals
semanage port -a -t mysqld_port_t -p tcp <poort open voor mysqld>
Hoe dan ook, voor deze blog is het doel alleen poort-bewustzijn, dus ik wilde ze even opnoemen om er zeker van te zijn dat ze bekend en begrepen zijn
- Wat ze zijn
- Wat ze gebruikt
- Wanneer ze gebruikt worden
- Is de communicatie standaard versleuteld (Ja in de meeste gevallen)
- Beperkende toegang
Deze referentie is van toepassing op MySQL 5.7 en 8.0
Deze referentie is van toepassing op MySQL 5.7 en 8.0
.7 en 8.0
Visueel ziet het er ongeveer zo uit.
Dit is GEEN volledige referentie – de tabellen hieronder geven de volledige referentie.
Of voor alle details zie
- Detailed MySQL Ports Reference – PDF
En een handige MySQL PORT quick reference tabel
MySQL Ports
| Technology | Default Port | SSL|Enc Def. | Verplicht | |
|---|---|---|---|---|
| Client – Server Connections (msql client, connectors, mysqldump, mysqlpump) |
||||
| MySQL client naar server – MySQL Protocol – 3306 | 3306/tcp | Y | Y tenzij alleen gebruik wordt gemaakt van 33060 | |
| MySQL Client naar Server – Nieuw X Protocol – 33060 | 33060/tcp | Y | Y tenzij alleen 3306 | |
| MySQL Shell | ||||
| MySQL-client naar server – MySQL Protocol – 3306 | 3306/tcp | Y | Y tenzij alleen gebruik wordt gemaakt van 33060 | |
| MySQL Client naar Server – New X Protocol – 33060 | 33060/tcp | Y | Y tenzij alleen gebruik wordt gemaakt van 3306 | |
| Voor controles, van Shell naar GR server tijdens InnoDB cluster configuratie. | 33061/tcp | Y | Y als InnoDB-cluster | |
| MySQL Workbench | ||||
| MySQL client naar server – MySQL Protocol – 3306 | 3306/tcp | Y | Optional – kies er minstens 1 | |
| MySQL Client to Server – New X Protocol – 33060 | 33060/tcp | Y | Optional – kies er minstens 1 | |
| Verbindt via SSH Tunnel | 22/tcp | Y | Optional – kies er minstens 1 | |
| Client – Router verbindingen – | ||||
| MySQL Client Elke SQL naar Router – MySQL Protocol | 6446/tcp | Inherited | Verplicht indien Router RW-toegang verschaft | |
| MySQL Client ReadOnly SQL naar Router – MySQL Protocol | 6447/tcp | “” | Vereist als Router ReadOnly toegang verschaft | |
| MySQL Router naar Server – MySQL Protocol | 3306/tcp | “” | Vereist | |
| MySQL Client Elke API-oproep naar Router – New X Protocol – 33060 | 6448/tcp | “” | Vereist als Router RW-toegang biedt | |
| MySQL Client ReadOnly-oproepen naar Router – Nieuw X Protocol – 33060 | 6449/tcp | “” | Vereist als Router ReadOnly-toegang biedt | |
| MySQL Router naar server – Nieuw X-protocol – 33060 | 33060/tcp | “” | Vereist | |
| Hoge Beschikbaarheid | ||||
| MySQL Group Replication interne communicatiepoort – 33061 | 33061/tcp | Y | Y | |
| MySQL Replication | 3306/tcp | Y | Y | |
| Externe Authenticatie * | ||||
| MySQL Enterprise Authenticatie -. LDAP * | 389/tcp | Y | Alleen bij gebruik van Externe Authenticatie naar LDAP. Ondersteunt ook gebruik van SASL | |
| MySQL Enterprise Authentication -. AD * | 389/tcp | Y | Alleen bij gebruik van Externe Authenticatie naar LDAP | |
| Key Management (voor TDE, Keyring-functies, enz.) * | ||||
| KMIP – gebruikt met Oracle Key Vault, Gemalto KeySecure, Thales Vormetric-server voor sleutelbeheer, Fornetix Key Orchestration * | Varieert, zie de specifieke documentatie voor sleutelbeheerders/vaults. | Y | Alleen vereist als TDE een KMIP-server gebruikt | |
| Key Services -. AWS KMS * | 443/tcp | Y | Alleen vereist als TDE gebruikmaakt van AWS KMS | |
| MEB backup | ||||
| Communicate to Local Instance | 3306/tcp | Y | Optional – kan verbinding maken met tcp|socket|pipe|memory | |
| Indien Innodb Cluster/Group Replication | 3306/tcp | Y | Vereist voor InnoDB Cluster Backup | |
| Oracle Object Store | 443/tcp | Y | Optional | |
| AWS S3 | 443/tcp | Y | Optional | |
| Backup naar Media Manager (SBT API) * | Varieert – Zie de documentatie voor backup media managers | Varieert – | Verkoperafhankelijk | Optioneel |