mysql extern erreichen

[alfonsodiecko]

Hi,

ich habe lokal angefangen mir ein Netzwerk von openVZ Container aufzubauen, auf VM1 192.168.172.1 läuft mein mysql Server, auf VM2 192.168.172.2 mein apache Server. Jetzt wollte ich auf mein apache , der auf VM2 läuft, ein cms zum laufen bringen, welches eine Datenbank von VM1 nutz. Das ganze endet in "Lost connection to MySQL server at 'reading initial communication packet', system error: 111". Ich habe auf den haupt server übre Iptables, meine Firewall erweitert:

Code: Alles auswählen

iptables -A INPUT -p tcp -s 0/0 --sport 1024:65535 -d 192.168.172.1 --dport 3306 -m state --state NEW,ESTABLISHED -j AKZEPTIEREN
iptables -A OUTPUT -p tcp -s 192.168.172.1 --sport 3306 -d 0/0 --dport 1024:65535 -m state --state ESTABLISHED -j AKZEPTIEREN

In 192.168.172.1 habe ich auserdem ein user angelegt der von jeden host zugrif hat

Code: Alles auswählen

mysql>CREATE USER 'joomla'@ '%' IDENTIFIED BY '******';
mysql>GRANT USAGE ON * . * TO 'joomla'@ '%' IDENTIFIED BY '******' WITH MAX_QUERIES_PER_HOUR 0 MAX_CONNECTIONS_PER_HOUR 0 MAX_UPDATES_PER_HOUR 0 MAX_USER_CONNECTIONS 0 ;
mysql>CREATE DATABASE `joomla` ;
mysql>GRANT ALL PRIVILEGES ON `joomla` . * TO 'joomla'@ '%';

Muss ich noch zusätzlich was in der /etc/mysql/my.cnf anpassen, damit ein Zugriff außerhalb möglich ist ?

Ich freue mich schon auf eure Antworten , bis dann und hf
alfonso

[minimike]

Kommst du überhaupt an den Mysqlserver dran?

Code: Alles auswählen

cat /etc/mysql/my.cnf | grep bind-address

[alfonsodiecko]

cat /etc/mysql/my.cnf | grep bind-address
bind-address = 127.0.0.1


ist das nicht egal, ich denke der User braucht die rechte ?

[nepos]

Wenn du deinem mysqld sagst, dass er sich auf 127.0.0.1, also localhost binden soll, dann ist es erstmal schnuppe, welche Rechte der User hat, der von Remote daherkommt
Die Netzwerkpakete erreichen hier deinen mysqld erstmal gar nicht. Da muss die IP deiner VM1 eingetragen werden.

[minimike]

Wenn du deinem mysqld sagst, dass er sich auf 127.0.0.1, also localhost binden soll, dann ist es erstmal schnuppe, welche Rechte der User hat, der von Remote daherkommt
Die Netzwerkpakete erreichen hier deinen mysqld erstmal gar nicht. Da muss die IP deiner VM1 eingetragen werden.

Auskommentieren reicht völlig aus

[nepos]

Naja, dann bindet er an "*:3306", was wahrscheinlich schon wieder zuviel des guten ist.
Aber damit es erstmal tut, dafür reichts auch.

[alfonsodiecko]

Also wenn ich es auskommentiere geht es, wenn ich die ip der VM eingebe kann ich den mysql nicht neustarten.

Code: Alles auswählen

Jan 19 19:37:47 localhost mysqld[16154]: 090119 19:37:47 [ERROR] Can't start server: Bind on TCP/IP port: Cannot assign requested address
Jan 19 19:37:47 localhost mysqld[16154]: 090119 19:37:47 [ERROR] Do you already have another mysqld server running on port: 3306 ?
Jan 19 19:37:47 localhost mysqld[16154]: 090119 19:37:47 [ERROR] Aborting

Wenn das ganze hinter einer Firewall läuft ist es dann trotzdem noch eine Sicherheitlücke?

[minimike]

Nun betreff Sicherheit du kannst ja in MYSQL festlegen wer von ausserhalb Zugriff bekommt. Also die localen Webgeschichten dürfen nur von localhost und einer der am besten nicht root, admin oder hostmaster heist darf mit nem schön laaaangen Passwort von extern drauf. Gegen eine Brutforceattacke halte ich Failtoban für eine gute Option. Ich selber habe so mit Mysql-Admin so über das Inet Zugriff. Um Verbindungen via SSL zu schützen müssen aber die Pakete mysql-server und mysql-client neu übersetzt werden. Die Passwortabfrage erfolgt aber verschlüsselt