标题已经说明了一切,建议在生产服务器上更改默认端口吗?
答案1
这个系统(以及其他地方)的其他人已经说服我,通过隐蔽性实现安全性并没有什么问题,但它必须绝不是你唯一的防线。
一定要在另一个端口上运行它,但不要让这阻止你积极地设置防火墙,确保只使用强密码,并且如果外部系统必须通过公共互联网连接到你的 MySQL 服务,则使用 SSL 或(更好的)VPN 包装连接。
如果您唯一的防御措施是在非标准端口上运行它,那么运行端口扫描器的其他人迟早会发现它(可能更快),并且您的防御就会漏洞百出。
答案2
使用非标准端口可以保护你免受假定标准端口的暴力破解脚本的攻击,但是:
- 这不会阻止执行端口扫描或类似操作的脚本,以查看 mysql 是否正在默认端口以外的其他位置监听,或者设法从其他地方的信息中收集正确的端口进行尝试
- 如果你的数据库服务器只为应用程序服务(即它为 Web 应用程序服务,而不是直接为用户服务),那么除了你的 Web 服务器之外,其他任何机器都不应该能够连接:确保它运行的任何端口都受到保护,以便只有少数应该连接的主机才能连接
- 如果应用程序用户以外的用户确实需要连接,则需要良好的密码策略和正确管理的权限(并且可能只允许他们通过 VPN 或 SSH 隧道连接,而不是向更广泛的网络开放 mysql 端口)
将其放在非默认端口上不会有任何危害,但除非有其他安全措施,否则它没有什么实际好处(它最多会增加成功黑客攻击之间的时间,而不是消除风险),并且在有其他安全措施的情况下,不需要移动到不同的端口。
答案3
不。
SQL安全性来自
- 调整良好的用户权限
- 不需要访问 MySQL 端口的网络的防火墙
ETC。