Sv Community El Salvador
Soporte y Tecnología => OS => GNU/Linux/Unix => Mensaje iniciado por: tekun en enero 09, 2019, 11:48:44 am
-
hey marachitos, tengo que habilitar el acceso a alguien fuera de mi oficina con permisos solo para mysql en linux, o sea, tiene que conectarse vía ssh y que pueda solo conectarse a mysql, no quiero darle más accesos, alguien que me oriente a como hacerlo..
ya guglie pero solo no encuentro lo que busco, solo son soluciones para dentro de mysql
no me interesa los permisos dentro de la base, sino un usuario en linux que cuando se conecte vía ssh solo pueda gestionar mysql
-
seria de probar el limitar el acceso con una VPN que solo de el acceso a mysql
-
hey marachitos, tengo que habilitar el acceso a alguien fuera de mi oficina con permisos solo para mysql en linux, o sea, tiene que conectarse vía ssh y que pueda solo conectarse a mysql, no quiero darle más accesos, alguien que me oriente a como hacerlo..
ya guglie pero solo no encuentro lo que busco, solo son soluciones para dentro de mysql
no me interesa los permisos dentro de la base, sino un usuario en linux que cuando se conecte vía ssh solo pueda gestionar mysql
pero a nivel de aplicacion o a nivel de red?
-
hey marachitos, tengo que habilitar el acceso a alguien fuera de mi oficina con permisos solo para mysql en linux, o sea, tiene que conectarse vía ssh y que pueda solo conectarse a mysql, no quiero darle más accesos, alguien que me oriente a como hacerlo..
ya guglie pero solo no encuentro lo que busco, solo son soluciones para dentro de mysql
no me interesa los permisos dentro de la base, sino un usuario en linux que cuando se conecte vía ssh solo pueda gestionar mysql
solo encontras soluciones parciales porque son dos problemas distintos. uno es limitar el usuario a que solo tenga permisos sobre mysql. idealmente tenes un grupo llamado mysql que tiene las credenciales correctas y agregas al usuario a dicho grupo y listo.
El otro es habilitar el acceso ssh para ese usuario. una vez dejes pasar el puerto 22 de SSH en tu firewall, eso deberia ser todo.
sudo nano /etc/ssh/sshd_config
AllowUsers usuariomysql
o
AllowGroups mysql
sudo systemctl restart sshd
y ya.
te recomiendo habilites el acceso remoto de SSH por Llave y no por password. tambien asegurate que root no tenga acceso ssh a menos que lo necesites.
pero a nivel de aplicacion o a nivel de red?
(https://i.kym-cdn.com/photos/images/original/000/173/576/Wat8.jpg)
-
(https://i.kym-cdn.com/photos/images/original/000/173/576/Wat8.jpg)
Aplicacion= MySQL, SO
Red= Restringir en la VPN ( en el caso ideal) a que solo posea comunicación con el host a donde esta la BD
Te hago dibujitos o se te olvido como funciona TCP/IP
-
Aplicacion= MySQL, SO
Red= Restringir en la VPN ( en el caso ideal) a que solo posea comunicación con el host a donde esta la BD
Te hago dibujitos o se te olvido como funciona TCP/IP
o talvez te hago el dibujito que vos sacaste una vpn a bailar cuando el tipo ni ha dicho ni pio de VPN mejor? talvez no sabias de esto pero igual como alguna nocion de vpn tenes querias meter la cuchara? pero en fin, dale segui sacando chispas con el corvo.
-
solo encontras soluciones parciales porque son dos problemas distintos. uno es limitar el usuario a que solo tenga permisos sobre mysql. idealmente tenes un grupo llamado mysql que tiene las credenciales correctas y agregas al usuario a dicho grupo y listo.
.....
te recomiendo habilites el acceso remoto de SSH por Llave y no por password. tambien asegurate que root no tenga acceso ssh a menos que lo necesites.
va que vergon!
esque buque linux user only for mysql admin y cosas parecidas pero solo de permisos de mysql me aparecían..
no tengo el acceso ssh por llave, sino por password porque tengo otras cosas que contrarrestan esa debilidad, fail2ban, he cambiado mi puerto 22 a uno diff.
....
Red= Restringir en la VPN ( en el caso ideal) a que solo posea comunicación con el host a donde esta la BD
....
fijate que el server ssh es donde está mysql,
-
ah bueno, proba y nos contas como te sale.
-
pues ya lo cree y como no soy jaker no puedo dar fe al 100% de la restricción, pero intente hacer un par de cosas con el usuario dentro del grupo mysql y no pude hacer bastantes cosas, ya mande las credenciales haber si les sirve
-
pues ya lo cree y como no soy jaker no puedo dar fe al 100% de la restricción, pero intente hacer un par de cosas con el usuario dentro del grupo mysql y no pude hacer bastantes cosas, ya mande las credenciales haber si les sirve
para probar solo intenta logearte con un usuario que no hayas agregado al archivo de configuracion de ssh
-
pero es que mi preocupación no es hacer conexión ssh, sino lo que puede hacer dentro de la conexión, acceso a archivos, manipular otros servicios distintos a mysql, etc dentro del server
-
pero es que mi preocupación no es hacer conexión ssh, sino lo que puede hacer dentro de la conexión, acceso a archivos, manipular otros servicios distintos a mysql, etc dentro del server
osea, men el sistema al final no sabe si el usuario esta usando ssh o una terminal local. para todo motivo y efecto, es escencialmente lo mismo que este enfrente de la maquina que en ssh. vaya, el principio de linux es que son un monton de piezas pequeñas haciendo tareas bien especificas vea, el que se encarga de poner las reglas de uso es el sistema de roles y grupos, no ssh. por lo tanto, lo que te tiene que preocupar es que el juego de reglas que has puesto es valido, si te funciona en local te funciona en ssh, no hay diferencia. si probas el usuario de manera local y cumple lo que queres, entonces ya esta.
-
pero analizando mas lo que pedis, lo basico que tenes que procurar es que el usuario no este en el grupo de sudoers o alguna otra forma de obtener acceso root, con eso ya limitaste bastante el acceso. podes bloquear mas comandos que no pidan root pero ahi ya tenes que modificar el archivo .bashrc del usuario y es un poco mas engorroso que solo revisar los grupos.
-
¿por que no solo le das acceso remoto desde la misma base?, en mysql puedes definir usuario que se pueden conectar remotamente(desde cualquier lugar o desde una ip especifica), no tendrías que hacerle un usuario(del sistema) y podrías dejar limitado a un solo usuario(de mysql) el que tenga permiso de acceder remotamente
-
¿por que no solo le das acceso remoto desde la misma base?, en mysql puedes definir usuario que se pueden conectar remotamente(desde cualquier lugar o desde una ip especifica), no tendrías que hacerle un usuario(del sistema) y podrías dejar limitado a un solo usuario(de mysql) el que tenga permiso de acceder remotamente
supongo que es porque no quiere dejar expuesta la bd directamente? es una forma mas controlada de acceso.
-
Podés hacer esto: https://access.redhat.com/solutions/65822
-
pero analizando mas lo que pedis, lo basico que tenes que procurar es que el usuario no este en el grupo de sudoers o alguna otra forma de obtener acceso root, con eso ya limitaste bastante el acceso. podes bloquear mas comandos que no pidan root pero ahi ya tenes que modificar el archivo .bashrc del usuario y es un poco mas engorroso que solo revisar los grupos.
exacto, mi temor es como crear un usuario en linux, que solo se pueda conectar a la bd y hacer cosas ahí.. tal como dices, independiente de como se conecte al server
y lo que hice fue crearlo en el grupo mysql y espero se suficiente.
¿por que no solo le das acceso remoto desde la misma base?, en mysql puedes definir usuario que se pueden conectar remotamente(desde cualquier lugar o desde una ip especifica), no tendrías que hacerle un usuario(del sistema) y podrías dejar limitado a un solo usuario(de mysql) el que tenga permiso de acceder remotamente
es exactamente por lo que dice el g00mba, porque no quiero desconocer las conexiones que hace en mysql, ya tengo un logwatch que me informa que usuarios se conectaron y desde que ip vía ssh, y si lo hago directamente a mysql no se a quihoras se conecto ni de donde
Podés hacer esto: https://access.redhat.com/solutions/65822
esto esta más stricto, lo que no es malo, pero por el momento con que solo sea del grupo mysql ya me sirve bastante
-
Si querés con ssh se conecte al SO y pueda entrar podes crearle un usuario con bash restringido
-
aparentemente funciona bastante bien, el haberlo creado en el grupo de MySQL
me llego este email:
*** SECURITY information for yor.server.com.sv ***
your.server.com.sv : Jan 15 22:16:00 : user.externo : user NOT in sudoers ; TTY=pts/0 ; PWD=/var/www/porno/hardcore ; USER=sparrow ; COMMAND=inicial_cnf.php
-
exito chele