動的IPアドレスを使用してリモートアクセス用にMySQLを構成するリスクはありますか？

Question

MySQLデータベースをVPS上に作成し、cPanelを介して自宅のPCにアクセスできるようにしたいと考えています。 cPanelは、リモートマシンのドメイン名またはIPアドレスが必要です。ただし、標準のDSLでは動的 IPアドレスがあります。

さて、ドキュメントによると、IPでワイルドカードを使用できるので、許可されたリモートマシンとしてcould 123.45.67。％を使用します。

データベースに適切なパスワードを選択したとすると、IPアドレスの範囲を認証してログインすることを承認するのにどのくらいのリスクがありますか？それ以外の場合、私の唯一のオプションは、承認済みIPアドレスを常に変更することです。

Tate Hansen · Accepted Answer

サブネットネイバーを超えた部外者に信頼を広げています。

デフォルトでは、MySQLはクライアントとサーバー間で暗号化されていない接続を使用します。つまり、ネットワークにアクセスできる誰かがすべてのトラフィックを監視し、送受信されているデータを見ることができます。クライアントとサーバー間で転送中にデータを変更することもできます。

もちろん、これはあなたとサーバーの間のすべてのデバイスと、それらのデバイスへのアクセス権を持つすべてのデバイスを意味します（承認済みまたは未承認）。

データが貴重な場合は、セキュリティを確保するためにさらに多くのことを行います。すべてのトラフィックを保護するために、いくつかのオプションがあります。

MySQLは、Secure Sockets Layer（SSL）プロトコルを使用して、MySQLクライアントとサーバー間の安全な（暗号化された）接続をサポートします（ http://dev.mysql.com/doc/refman/5.5/en/secure-connections.html ）
OpenVPN（ http://openvpn.net/ ）および/またはSSHトンネリング（ http://upshell.wordpress.com/2011/02/23/connecting-to-a- remote-mysql-server-securely-using-ssh-port-forwarding / ）は無料です。 （@ Jeff Ferlandが言及したオプション）

Jeff Ferland · Answer

セキュリティの降順：

VPNを確立し、MySQLにVPNインターフェイスでのみリッスンさせる
ポートノッキングを使用する
承認済みIPを変更する
開いたままにします

隣のIPについてはあまり気にしません。近所の次の人がSQLサーバーを追いかける確率は比較的低いので、サブネットのワイルドカードは問題ありません。それを超えるオプションは、VPNポイントまでの追加レベルのセキュリティを提供します。これは、実際にデータをどの程度重視するか、VPN構成をセットアップする価値があるかどうかに関係しています。アクセスがサーバー間でない場合は、sshポートフォワーディングを検討することをお勧めします。

（主にデータの価値に基づいて）リスクを比較検討し、それに見合うだけの作業量を検討します。

john · Answer

VPSはLinuxシステムですか？その場合、1つのポートを開くだけで十分であり、sshデーモンが実行されるポートです。 ssh port forwardを使用し、他のデーモンがlocalhostで待機するようにします。