我在下面提到的所有服务器上运行着 CentOS 7。
我正在本地开发环境上测试设置单独的数据库和 Web 服务器。
这些服务器是两个通过局域网中的桥接模式连接的 VirtualBox 实例,因此可以毫无问题地互相看到。
我希望 WEB 服务器能够仅使用来自 WEB 服务器的 IP 限制来连接到 DB 服务器上的 MySQL。
我已阅读了一些讨论主题,但没有一个能帮助解决我的问题,因为其中许多都是firewall或selinux相关的。
我已经禁用了这两者firewalld,selinux因此目前这些就不是影响因素了。
DB服务器IP:192.168.1.167 WEB服务器IP:192.168.1.168
我正在使用以下脚本进行测试,http://192.168.1.168/connect.php
<?php
$servername = "192.168.1.167";
$username = "demouser";
$password = "password";
// Create connection
$conn = mysqli_connect($servername, $username, $password);
// Check connection
if (!$conn) {
die("Connection failed: " . mysqli_connect_error());
}
echo "Connected successfully";
?>
Connection failed: Permission denied执行时出现错误:
wget http://192.168.1.168/connect.php在 192.168.1.168 终端控制台上http://192.168.1.168/connect.php在我的浏览器窗口中也出现了同样的错误。
(1)但是,我能够通过命令行成功连接mysql -u demouser -p -h 192.168.1.167192.168.1.168(WEB 服务器)
(2)我在192.168.1.168(WEB服务器)的终端控制台中Connected successfully直接执行,也会出现同样的问题php connect.php
我只能确认通过 SSH 的远程 MySQL 连接可以正常工作,并且通过 PHP MySQL 模块可以正常工作。
这是 192.168.1.167(数据库服务器)的访问权限
+---------------------------------------------------------------------------------------------------------------+
| Grants for demouser@localhost |
+---------------------------------------------------------------------------------------------------------------+
| GRANT USAGE ON *.* TO 'demouser'@'localhost' IDENTIFIED BY PASSWORD '*DB17DD535D122AED147A61C30CD5D01FB3BC5433' |
| GRANT ALL PRIVILEGES ON `demodb`.* TO 'demouser'@'localhost' |
+---------------------------------------------------------------------------------------------------------------+
+-------------------------------------------------------------------------------------------------------------------+
| Grants for [email protected] |
+-------------------------------------------------------------------------------------------------------------------+
| GRANT USAGE ON *.* TO 'demouser'@'192.168.1.168' IDENTIFIED BY PASSWORD '*DB17DD535D122AED147A61C30CD5D01FB3BC5433' |
| GRANT ALL PRIVILEGES ON `demodb`.* TO 'demouser'@'192.168.1.168' |
+-------------------------------------------------------------------------------------------------------------------+
netstat192.168.1.167 上显示:
Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name
tcp 0 0 0.0.0.0:3306 0.0.0.0:* LISTEN 2892/mysqld
tcp 0 0 127.0.0.1:25 0.0.0.0:* LISTEN 1704/master
tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN 1053/sshd
我如何允许通过 HTTP/PHP 进行远程 MySQL 连接,但仅限于从上述 WEB 服务器发起的请求?
答案1
我能够确定这SELinux就是连接失败的原因。
正如原始帖子中提到的,我禁用SELinux了D B服务器,我认为它阻止了来自网络服务器。
导致连接问题的原因SELinux是网络服务器。
我暂时禁用它setenforce 0以将其设置为permissive模式。
一切正常。
我重新启用了SELinux防火墙D B服务器。我仍然可以通过服务器上的 PHP 脚本建立远程数据库连接网络服务器。
我现在可以确认问题出在网络服务器发起连接。
我重新启用SELinux了网络服务器并使用以下命令设置布尔SELinux值网络服务器。
setsebool -P httpd_can_network_connect_db 1
目前我SELinux在两个方面都很活跃网络&D B服务器处于enforcing模式,并且远程 MySQL 连接仍然可以成功通过。
我在其他没有关注的讨论主题中读到的是:哪个服务器配置SELinux布尔值。
希望这个帖子可以帮助遇到与我相同问题的人节省一些时间。