Vzdálené připojení k MySQL pomocí SSL

mysql

Vzdálené připojení k MySQL pomocí SSL
« kdy: 11. 12. 2018, 18:45:57 »
ahoj,

mam verejny server, kde bezi php a mysql. mysql je bindovane iba na lokalnu ip adresu. potrebujem sa teraz pripojit na tuto db z ineho verejneho servera. zvazujem 3 moznosti:

a) vynutenie SSL spojenia, bud "klasicky"
Kód: [Vybrat]
CREATE USER 'remote_user'@'mysql_client_IP' IDENTIFIED BY 'password' REQUIRE SSL;

b) alebo s klientskym certifikatom
Kód: [Vybrat]
ALTER USER 'remote_user'@'mysql_client_IP' REQUIRE X509;
vid manual: https://www.digitalocean.com/community/tutorials/how-to-configure-ssl-tls-for-mysql-on-ubuntu-16-04

c) alebo pomocou "obycajneho" SSH tunela medzi 2 servermi.

prosim o radu:
ktora s tych moznosti je podla vas najlepsia s pohladu bezpecnosti, stability spojenia a performance? minimalne ten tunel by som musel zrejme periodicky kontrolovat ci bezi.

dalej ked otvorim mysql port von, staci nastavit ufw pravidlo a povolenie INBOUND spojenia iba pre konkretnu ip adresu? bude to "good enough" bezpecne?

« Poslední změna: 11. 12. 2018, 21:35:58 od Petr Krčmář »


kkt1

  • *****
  • 796
    • Zobrazit profil
Re:Vzdálené připojení k MySQL pomocí SSL
« Odpověď #1 kdy: 12. 12. 2018, 06:45:02 »
Nevim jaky mas traffic, ale patrne ti bude stacit ssl+omezeni na konkretni IP. Pokud chces mit vice vrstev zabezpeceni, tak pridej k tomu tunel.

mysql

Re:Vzdálené připojení k MySQL pomocí SSL
« Odpověď #2 kdy: 12. 12. 2018, 08:58:04 »
Nevim jaky mas traffic, ale patrne ti bude stacit ssl+omezeni na konkretni IP. Pokud chces mit vice vrstev zabezpeceni, tak pridej k tomu tunel.

traffic je v podstate zanedbatelny. urobim nejake performance testy pre ssl vs tunel a uvidim. tomu tunelu by som sa najradsej vyhol, aby som ho nemusel udrzovat ale nasiel som autossh - ten by to mozno zvladol podla mojich potrieb.