Закрыть порт 3306

[Deron]

Сервер стоит на ОС: Debian
Порт базы данных 3306 открыт для всех из-за чего возможны атаки по нему.
Если я закрою порт совсем то статистика и регистрация на сайте работать не будет, так как он находиться на хостинге.
Что делать? :ci:

[ANZO]

КО: Открыть доступ только ип-адресу вебсервера.

[UFOHKA]

Порт вы никак не закроете и не измените... Вот что нужно сделать:
Рассказываю... Поскольку, согласно начальным предположениям по защите, база данных будет использоваться только локально установленными PHP приложениями, вы можете свободно отключить прослушивание этого порта. Это ограничит возможность нападения на базу данных mysql прямыми TCP/IP подключениями с других хостов.
Что бы отключить прослушивание выше упомянутого порта, необходимо к разделу [mysqld] файла /chroot/mysql/etc/my.cnf добавить следующий параметр:
skip-networking
Это, на сколько я знаю, единственный способ обезопасить себя от атак.

[Deron]

КО: Открыть доступ только ип-адресу вебсервера.

Пытался, не выходит.
Может поможешь? :confused:

[Lihoy]

Рассказываю... Поскольку, согласно начальным предположениям по защите, база данных будет использоваться только локально установленными PHP приложениями, вы можете свободно отключить прослушивание этого порта. Это ограничит возможность нападения на базу данных mysql прямыми TCP/IP подключениями с других хостов.
Что бы отключить прослушивание выше упомянутого порта, необходимо к разделу [mysqld] файла /chroot/mysql/etc/my.cnf добавить следующий параметр:
skip-networking
Это, на сколько я знаю, единственный способ обезопасить себя от атак.

Молодец, копипастишь знатно.

http://www.securitylab.ru/analytics/216298.php

...

4.1 Отключение удаленного доступа

Первое изменение касается порта 3306/tcp, который mysql прослушивает по умолчанию. Поскольку, согласно начальным предположениям по защите, база данных будет использоваться только локально установленными PHP приложениями, мы можем свободно отключить прослушивание этого порта. Это ограничит возможность нападения на базу данных mysql прямыми TCP/IP подключениями с других хостов. Чтобы отключить прослушивание упомянутого порта, необходимо к разделу [mysqld] файла /chroot/mysql/etc/my.cnf добавить следующий параметр:

skip-networking

Следует разобраться в проблеме топика, а не копипастить без разбору.
skip-networking используется когда предполагается разрешение только локальных подключений.

http://dev.mysql.com/doc/refman/5.5/en/s...networking

...

Do not listen for TCP/IP connections at all. All interaction with mysqld must be made using named pipes or shared memory (on Windows) or Unix socket files (on Unix). This option is highly recommended for systems where only local clients are permitted. See Section 7.11.5.2, “How MySQL Uses DNS”.

Автору же необходимо разрешить подключение к mysql с 1 внешнего IP.
Как вариант - iptables.
Сначала разрешить коннект только с указанного IP.

iptables -A INPUT -p tcp -s ip_сайта --dport порт_mysql -j ACCEPT

Затем дропать любые другие коннекты.

iptables -A INPUT -p tcp --dport порт_mysql -j DROP

Как-то так.