有人建议我应该将 MySQL 服务器与 Apache/PHP 服务器分开,以防发生黑客攻击等。
通过访问linode,切片主机和各种各样的通过 serverfault 上的文章,我设法拼凑了一套关于如何执行 Apache/PHP 操作的合理说明。我使用的是 Rackspace VPS,它们为每个服务器提供了一个内部 IP。
如果我设置了 MySQL VPS,我是否应该假设我只需添加数据库主机的内部 IP?我想我只需要打开我的默认 ssh 端口和 mysql 端口并在那里安装 phpmyadmin?
理想情况下,我将拥有 webserver.mydomain.com 和 dbserver.mydomain.com(两个 256mb VPS),并在 webserver.mydomain.com 上使用 servermin,在 dbserver.mydomain.com 上使用 phpmyadmin。
如果有人有关于如何设置此类解决方案的任何指南或建议,我将不胜感激!
答案1
有人建议我应该将 MySQL 服务器与 Apache/PHP 服务器分开,以防发生黑客攻击等。
最常见的 MySQL 漏洞将发布通过您的 Web 应用程序。
MySQL 通常会被移到单独的服务器以提高 Web 服务器的性能,而不是数据库的安全性。
如果我设置了 MySQL VPS,我是否应该假设我只需添加数据库主机的内部 IP?
除非你信任硬件节点上的其他人,否则我认为最好使用隧道。
两台 256mb VPS
如果您只获得一个 512 MB VPS 并维护依赖于 MySQL 的任何软件的修补版本,您(和您网站的访问者)可能会获得更好的体验。
答案2
这取决于您的 VPS 托管公司。不同的 VPS 主机的网络设置不同。我没有使用过 rackspace 的 VPS 产品,因此无法为您提供详细的设置说明。不过,出于安全考虑,将两者分开是个好主意(也可能是性能,具体取决于服务器的虚拟化方式和网络配置方式)。确保切断 MySQL 服务器与互联网的连接(当然 SSH 除外,这样您仍然可以自己维护它)。使用 MySQL VPS 的内部 IP 连接到 Apache VPS。如果您锁定了 MySQL 服务器,那么黑客访问您数据库中的宝贵数据的唯一方式就是通过 Apache 服务器。这让他们的攻击变得更加困难。当然,如果您的 PHP 中存在三个或三个巨大的安全漏洞,那么您的数据仍然可能存在巨大的漏洞……
PS 正如 danlefree 所说,最好利用 stunnel 或其他加密隧道确保两个 VPS 之间的连接尽可能安全。