外部からの攻撃を防ぐために、Linux マシンの MySQL 3306 ポートが localhost 以外に接続できないように制限しようとしています。私は次のコードを持っていますが、それが正しいかどうかはわかりません:
iptables -A INPUT -p tcp -s localhost --dport 3306 -j ACCEPT iptables -A OUTPUT -p tcp -s localhost --dport 3306 -j ACCEPT iptables -A INPUT -p tcp --dport 3306 -j DROP iptables -A OUTPUT -p tcp --dport 3306 -j DROP
私の他の質問は、ローカルホストへのアクセスのみを許可するのは正しいですか? これは、30 を超えるドメインを持つ標準の専用 centos Web サーバーです。
MySQL とのネットワークをオフにしないのはなぜですか?
my.cnf に追加:
skip-networking
また、ネットワーク セクションで使用される多くのテストをスキップするパイプ経由の接続を強制することで、パフォーマンスがわずかに向上するはずです。変更後は、127.0.0.1 ではなく、 localhost を使用する必要があることに注意してください。
iptables -A INPUT -p tcp --dport 3306 -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT
上記の規則は、2 行を 1 行に変換するためのものです。
2 番目の質問への回答:
localhost 以外からの mysql アクセスを提供したくない場合は、このように構成するのが最適です。単純。:-)
iptables -A INPUT -p tcp --dport 3306 -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT
iptables -A INPUT -p tcp --dport 3306 -j DROP
フィルタリングを削除する場合は、次を使用します。
iptables -D INPUT -p tcp --dport 3306 -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT
iptables -D INPUT -p tcp --dport 3306 -j DROP
注:どちらもルートが必要な場合があるため、次のようになります。sudo iptables (...)