Navigacija
Lista poslednjih: 16, 32, 64, 128 poruka.

MySQL i Fail2ban

[es] :: MySQL :: MySQL i Fail2ban

[ Pregleda: 5558 | Odgovora: 7 ] > FB > Twit

Postavi temu Odgovori

Autor

Pretraga teme: Traži
Markiranje Štampanje RSS

CoyoteKG

Član broj: 70939
Poruke: 1784



Profil

icon MySQL i Fail2ban13.06.2017. u 10:45 - pre 5 meseci
Sta raditi ako port 3306 mora da bude otvoren?
Guglam da vidim da li moze da se namesti Fail2Ban regex za mysql ali uglavnom ne nailazim na to da je praksa.
Videh negde da samo ako se ukljuci general log moze da se hvataju access logovi, ali valjda taj general log ce da belezi sve i da mi uspori maksimalno server.
Pa valjda postoji i neki log_warning = 2, samo ne znam da li vazi za 5.6 verziju. Videh samo da je to deprecated za 5.7.

Pokusavam da resim jedan po jedan problem, pa da zatvorim port i propustim samo odredjene IP adrese.
Jedan od problema mi je neki API .NET koji koristi ovaj mysql server.
Kada blokiram port i whitelistujem samo taj server gde je ta .net aplikacija, API ne radi. A mogu sa tog servera da se telnetujem na port 3306.
 
Odgovor na temu

bogdan.kecman
Bogdan Kecman
"specialist"
Oracle
srbistan

Član broj: 201406
Poruke: 14337
*.dynamic.sbb.rs.

Sajt: mysql.rs


Profil

icon Re: MySQL i Fail2ban13.06.2017. u 11:45 - pre 5 meseci
Citat:
CoyoteKG: Sta raditi ako port 3306 mora da bude otvoren?


prebacis mysql na neki drugi port :D

elem, zasto mora da bude otvoren? zelis da "svi" mogu da pristupe ili samo par masina? ako je samo par masina u pitanju otvori port prema tih nekoliko masina, ne vidim razlog sto bi ceo internet mogao da pristupi? ako je potreba da neki developeri koji su na nekim dinamickim ip-evima mogu da pristupe oteraj ih u .!. i reci da se kace kroz ssh tunel i nemoj ni slucajno da im otvaras port, ako ne umeju reci da su pajseri i trazi ozbiljne developere ...

u svakom slucaju "javno otvoren port" nikako nemoj da dozvolis, jer sutra ce tebe da ... kad to neko izbusi

Citat:
CoyoteKG:
Guglam da vidim da li moze da se namesti Fail2Ban regex za mysql ali uglavnom ne nailazim na to da je praksa.


jok, jedino komercijalna verzija sa auth plaginom pa da nesto siljis sa tim ali nije to resenje. general log zaboravi

Citat:
CoyoteKG:
Pokusavam da resim jedan po jedan problem, pa da zatvorim port i propustim samo odredjene IP adrese.
Jedan od problema mi je neki API .NET koji koristi ovaj mysql server.
Kada blokiram port i whitelistujem samo taj server gde je ta .net aplikacija, API ne radi. A mogu sa tog servera da se telnetujem na port 3306.


mozda si nekaj zabrljao u iptables pravilima .. to mozda bolje da proveris na #linux forumu :D nego ovde .. taj .not server ako se kaci mozda se kaci na jos nesto na tom serveru, checkni sa netstat i snifni traffic sa iptraf vidi dal sa tog ip-a gde je taj .not dolazi jos nesto :)

takodje na .not server instaliraj mysql klijent i probaj sa tim klijentom da se okacis na mysql server na toj remote masini i vidi to da li radi, lakse da debagujes nego da razmisljas sta .not oce
 
Odgovor na temu

CoyoteKG

Član broj: 70939
Poruke: 1784



Profil

icon Re: MySQL i Fail2ban13.06.2017. u 12:03 - pre 5 meseci
Da, neki developeri koji eksterno rade za nas, nemaju staticku IP.
Ali njih cu vec da resim, samo da nadjem vremena da instaliram neki VPN server.
To za taj ssh tunel, pojma nemam ni ja sta je to. Sad cu dizguglam :)

Veci mi je taj problem sa tim API.
Na serveru sam vec instalirao mysql workbench i uspeo da se logujem. Dakle nije problem konekcija sa servera.
Na tom serveru nema nista drugo vise sto bi ta .net app koristila osim te baze.
Jedino sumnjam da ta .net app koristi jos nekakav spoljni kojekakav "servis", koji nije na tom serveru gde je app.

Videcu kako "linuksaski" da otkrijem sta jos pokusava da se zakaci na tu bazu. Nadao sam se da mogu da vidim negde te autentifikacije...

 
Odgovor na temu

bogdan.kecman
Bogdan Kecman
"specialist"
Oracle
srbistan

Član broj: 201406
Poruke: 14337
*.dynamic.sbb.rs.

Sajt: mysql.rs


Profil

icon Re: MySQL i Fail2ban13.06.2017. u 12:32 - pre 5 meseci
Citat:
CoyoteKG: Da, neki developeri koji eksterno rade za nas, nemaju staticku IP.
Ali njih cu vec da resim, samo da nadjem vremena da instaliram neki VPN server.
To za taj ssh tunel, pojma nemam ni ja sta je to. Sad cu dizguglam :)

napravis im ssh user na serveru, mogu iz workbench-a direkt da kazu da im je mysql tamo i da koriste ssh tunel i wb ce im odratiti sve sto treba, ako nece koriste wb ili neki klijent koji direkt podrzava ssh tunel mogu da se okace obicnim ssh-om, ako idu iz cli-a -L je opcija koja ih zanima, ako sa doze idu i koriste putty onda "connection/ssh/tunnels" pa tu naprave sta oce


Citat:
CoyoteKG:
Veci mi je taj problem sa tim API.
Na serveru sam vec instalirao mysql workbench i uspeo da se logujem. Dakle nije problem konekcija sa servera.


onda kazes developerima - ja namestio, vidi kaci se na mysql odavde... dalje neka se oni .... sa tim zasto .not nece radi kako treba

 
Odgovor na temu

CoyoteKG

Član broj: 70939
Poruke: 1784



Profil

icon Re: MySQL i Fail2ban13.06.2017. u 12:44 - pre 5 meseci
hah, evo sad ponovo iscimao, zatvorio port, i API im radi :).
A kazu da nista nisu menjali. Nadam se da me ne loze kao sa onom starom "pritisni F5" forom.

Sto se tice SSH, ja sam portove 22 i 23 ogranicio da moze samo sa moje IP adrese da se pristupa.
Dakle tu bih opet naisao na isti problem sa dinamickim IP adresama. Jedino sto bih mogao sa fail2ban da resim pogresne autentifikacije.

U principu, ako ovo sa API ne bude bilo problema, videcu za vikend da uzmem CX10 na Hetzneru i da skontam kako da instaliram i podesim openvpn.

Bogdane, hvala sto postojis na ovom forumu :)
 
Odgovor na temu

bogdan.kecman
Bogdan Kecman
"specialist"
Oracle
srbistan

Član broj: 201406
Poruke: 14337
*.com
Via: [es] mailing liste

Sajt: mysql.rs


Profil

icon Re: MySQL i Fail2ban13.06.2017. u 12:55 - pre 5 meseci
a vidi, 23 zatvori za vjek i vjekova i deinstaliraj bilo sta sto slusa
na 23 :D

22 nije preterano veliki problem posto je 22 dovoljno testiran da bude
otvoren svima i u kombinaciji sa fail2ban i eventualno snortom to radi
prilicno sigurno..

openvpn ti je pdim:
https://www.digitalocean.com/c...-an-openvpn-server-on-centos-7

ono sto mozes, je da uzmes od hz jos jedan ip i dignes vm sa quemu
direkt na tvom serveru i tu puknes openvpn :D mada mozes i od hz-a da
uzmes neki vm ako ti je lakse da ne smaras ovu masinu, sve devove
prebacis na taj ovpn i bole te uvo :D
 
Odgovor na temu

Informer

Član broj: 115774
Poruke: 1647



Profil

icon Re: MySQL i Fail2ban13.06.2017. u 22:06 - pre 5 meseci
Citat:
CoyoteKG:Sto se tice SSH, ja sam portove 22 i 23 ogranicio da moze samo sa moje IP adrese da se pristupa.


Stavi da moze samo sa digitalnim sertifikatom da se poveze i bez user/pass i onda pusti odakle god hoces da moze da se poveze :)
=I
 
Odgovor na temu

CoyoteKG

Član broj: 70939
Poruke: 1784



Profil

icon Re: MySQL i Fail2ban19.06.2017. u 11:30 - pre 5 meseci
To cu i da uradim.
Kako da kreiram SSH user-a a da nema bukvalno nikakve privilegije nad serverom, dakle ni da lista foldere, da ne moze da okida skripte. Dakle user koji bi sluzio samo za tunel zbog mysql
 
Odgovor na temu

[es] :: MySQL :: MySQL i Fail2ban

[ Pregleda: 5558 | Odgovora: 7 ] > FB > Twit

Postavi temu Odgovori

Navigacija
Lista poslednjih: 16, 32, 64, 128 poruka.