Originariamente inviato da aasmdaa
Ciao,

ho un server in housing (protetto da un firewall hardware esterno) sul quale gira MySQL. Al momento per collegarmi utilizzo su alcuni pc in diverse sedi un software (MyEtunnel) che crea un tunnel SSH e poi mi collego sulla porta locale forwardata di tale tunnel.

Ora se io volessi evitare tale tunnel per motivi prestazionali ad esempio se volessi aprire la porta 3306 per collegarmi direttamente, dal punto di vista della sicurezza sarei a un buon livello se:

1) nel firewall acconsento al passaggio della 3306 solo agli IP fissi delle varie sedi
IP spoofing
2) nel database imposto che l'utente ha accesso solo a determinate tabelle in lettura e scrittura
http://it.wikipedia.org/wiki/Privilege_escalation

Grazie
ciao
Tutto dipende da:
a) qual è il tuo concetto di "buon livello" di sicurezza
b) quanto sono sensibili i tuoi dati


In ogni caso:
1) nel firewall acconsento al passaggio della 3306 solo agli IP fissi delle varie sedi
è attaccabile con un IP Spoofing (http://it.wikipedia.org/wiki/IP_spoofing)

2) nel database imposto che l'utente ha accesso solo a determinate tabelle in lettura e scrittura
è sempre possibile che qualcuno trovi il modo per un Vertical Privilage Escalation (http://it.wikipedia.org/wiki/Privilege_escalation)...dipende da come hai configurato MySql

Ad ogni modo se hai cali prestazionali mostruosi con SSH e se non hai dati particolarmente sensibili (cioè non tratti carte di credito, conto correnti, raccolta di credenziali, progetti industriali ecc.) allora può andare bene quello che hai pensato...

... in più per sicurezza aggiungerei al firewall un controllo anche sul MAC dei computer che usi effettivamente per connetterti dalle varie sedi (ok esiste anche il MAC Spoofing ma non affatto banale e a quel punto significa che chi ti attacca non lo fa per caso/noia ma sta andando a cercare dati ben precisi sul tuo db)