Proteja MySQL contra ataques de fuerza bruta en un servidor CentOS 7 dedicado

Navega tus respuestas
0

Tengo una base de datos en un servidor dedicado (CentOS 7) configurado por un proveedor externo. Veo una cantidad desagradable de intentos de fuerza bruta en el archivo de registro de MySQL todos los días. Sé que la mejor opción sería no conectarse de forma remota (y cerrar el puerto), pero necesito hacerlo.

Mi IP en casa es dinámica pero los primeros 2 bytes son iguales. ¿Puedo bloquear las direcciones IP que están fuera de este rango? ¿Debería hacerse esto para el servidor en general, o hay una manera de hacerlo solo para MySQL?

Como nota, mi proveedor tiene acceso al servidor desde una IP estática, por lo que lo incluiría en la lista blanca, en caso de que la IP de mi hogar cambie y me bloqueen.

    
pregunta Jk33 18.08.2018 - 16:41
fuente

1 respuesta

2
  

¿Puedo bloquear las direcciones IP que están fuera de este rango?

Absolutamente, al usar iptables puede forzar la aceptación (inclusión en listas blancas) de paquetes desde un rango de direcciones IP o una dirección IP particular en un puerto particular. Linux: Iptables Permitir solicitudes entrantes del servidor MYSQL en el puerto 3306

Luego puedes usar Fail2Ban para protección de fuerza bruta. P.ej. Si la autenticación MySQL en el puerto 3306 tiene 3 intentos fallidos en 5 minutos, cierre el puerto 3306 para esa dirección IP durante 30 minutos.

Aunque, puede acceder a MySQL externamente sin la necesidad de exponer el puerto directamente a Internet. Configure un servidor SSH seguro y haga un túnel en el puerto local o implemente una VPN para lograr un acceso seguro a la red interna. Ambos le brindarán acceso interno al puerto 3306, sin exponerlo a Internet directamente.

Reenvío de puertos a través de túneles SSH :

  • (Cliente) === (SSH Tunneling) --- (Servidor MySQL)

La misma idea se establece con una VPN:

  • (Cliente) === (VPN segura) --- (Servidor MySQL)

Igual (=) se usa para indicar tráfico cifrado en Internet, mientras que el guión (-) indica el tráfico dentro de su red interna.

    
respondido por el safesploit 18.08.2018 - 17:13
fuente

Lea otras preguntas en las etiquetas

¿Debo bloquear a un usuario para que no use la aplicación bancaria si falsifica la ubicación? Listas de reputación de IP de IP maliciosas / sospechosas (pagadas o gratuitas) [cerrado]