usuario en linux solo para mysql

[tekun]

hey marachitos, tengo que habilitar el acceso a alguien fuera de mi oficina con permisos solo para mysql en linux, o sea, tiene que conectarse vía ssh y que pueda solo conectarse a mysql, no quiero darle más accesos, alguien que me oriente a como hacerlo..

ya guglie pero solo no encuentro lo que busco, solo son soluciones para dentro de mysql

no me interesa los permisos dentro de la base, sino un usuario en linux que cuando se conecte vía ssh solo pueda gestionar mysql

[EltalIvan]

seria de probar el limitar el acceso con una VPN que solo de el acceso a mysql

[papalota]

hey marachitos, tengo que habilitar el acceso a alguien fuera de mi oficina con permisos solo para mysql en linux, o sea, tiene que conectarse vía ssh y que pueda solo conectarse a mysql, no quiero darle más accesos, alguien que me oriente a como hacerlo..

ya guglie pero solo no encuentro lo que busco, solo son soluciones para dentro de mysql

no me interesa los permisos dentro de la base, sino un usuario en linux que cuando se conecte vía ssh solo pueda gestionar mysql

pero a nivel de aplicacion o a nivel de red?

[g00mba]

hey marachitos, tengo que habilitar el acceso a alguien fuera de mi oficina con permisos solo para mysql en linux, o sea, tiene que conectarse vía ssh y que pueda solo conectarse a mysql, no quiero darle más accesos, alguien que me oriente a como hacerlo..

ya guglie pero solo no encuentro lo que busco, solo son soluciones para dentro de mysql

no me interesa los permisos dentro de la base, sino un usuario en linux que cuando se conecte vía ssh solo pueda gestionar mysql

solo encontras soluciones parciales porque son dos problemas distintos. uno es limitar el usuario a que solo tenga permisos sobre mysql. idealmente tenes un grupo llamado mysql que tiene las credenciales correctas y agregas al usuario a dicho grupo y listo.

El otro es habilitar el acceso ssh para ese usuario. una vez dejes pasar el puerto 22 de SSH en tu firewall, eso deberia ser todo.

Código: [Seleccionar]

sudo nano /etc/ssh/sshd_config

Código: [Seleccionar]

AllowUsers usuariomysql
o

Código: [Seleccionar]

AllowGroups mysql

Código: [Seleccionar]

sudo systemctl restart sshd
y ya.
te recomiendo habilites el acceso remoto de SSH por Llave y no por password. tambien asegurate que root no tenga acceso ssh a menos que lo necesites.

pero a nivel de aplicacion o a nivel de red?

[papalota]

Aplicacion=  MySQL, SO
Red= Restringir en la VPN ( en el caso ideal) a que solo posea comunicación con el host a donde esta la BD

Te hago dibujitos o se te olvido como funciona TCP/IP

[g00mba]

Aplicacion=  MySQL, SO
Red= Restringir en la VPN ( en el caso ideal) a que solo posea comunicación con el host a donde esta la BD

Te hago dibujitos o se te olvido como funciona TCP/IP

o talvez te hago el dibujito que vos sacaste una vpn a bailar cuando el tipo ni ha dicho ni pio de VPN mejor? talvez no sabias de esto pero igual como alguna nocion de vpn tenes querias meter la cuchara? pero en fin, dale segui sacando chispas con el corvo.

[tekun]

solo encontras soluciones parciales porque son dos problemas distintos. uno es limitar el usuario a que solo tenga permisos sobre mysql. idealmente tenes un grupo llamado mysql que tiene las credenciales correctas y agregas al usuario a dicho grupo y listo.
.....
te recomiendo habilites el acceso remoto de SSH por Llave y no por password. tambien asegurate que root no tenga acceso ssh a menos que lo necesites.

va que vergon!
esque buque linux user only for mysql admin y cosas parecidas pero solo de permisos de mysql me aparecían..

no tengo el acceso ssh por llave, sino por password porque tengo otras cosas que contrarrestan esa debilidad, fail2ban, he cambiado mi puerto 22 a uno diff.

....
Red= Restringir en la VPN ( en el caso ideal) a que solo posea comunicación con el host a donde esta la BD
....

fijate que el server ssh es donde está mysql,

[g00mba]

ah bueno, proba y nos contas como te sale.

[tekun]

pues ya lo cree y como no soy jaker no puedo dar fe al 100% de la restricción, pero intente hacer un par de cosas con el usuario dentro del grupo mysql y no pude hacer bastantes cosas, ya mande las credenciales haber si les sirve

[g00mba]

pues ya lo cree y como no soy jaker no puedo dar fe al 100% de la restricción, pero intente hacer un par de cosas con el usuario dentro del grupo mysql y no pude hacer bastantes cosas, ya mande las credenciales haber si les sirve

para probar solo intenta logearte con un usuario que no hayas agregado al archivo de configuracion de ssh

[tekun]

pero es que mi preocupación no es hacer conexión ssh, sino lo que puede hacer dentro de la conexión, acceso a archivos, manipular otros servicios distintos a mysql, etc dentro del server

[g00mba]

pero es que mi preocupación no es hacer conexión ssh, sino lo que puede hacer dentro de la conexión, acceso a archivos, manipular otros servicios distintos a mysql, etc dentro del server

osea, men el sistema al final no sabe si el usuario esta usando ssh o una terminal local. para todo motivo y efecto, es escencialmente lo mismo que este enfrente de la maquina que en ssh. vaya, el principio de linux es que son un monton de piezas pequeñas haciendo tareas bien especificas vea, el que se encarga de poner las reglas de uso es el sistema de roles y grupos, no ssh. por lo tanto, lo que te tiene que preocupar es que el juego de reglas que  has puesto es valido, si te funciona en local te funciona en ssh, no hay diferencia. si probas el usuario de manera local y cumple lo que queres, entonces ya esta.

[g00mba]

pero analizando mas lo que pedis, lo basico que tenes que procurar es que el usuario no este en el grupo de sudoers o alguna otra forma de obtener acceso root, con eso ya limitaste bastante el acceso. podes bloquear mas comandos que no pidan root pero ahi ya tenes que modificar el archivo .bashrc del usuario y es un poco mas engorroso que solo revisar los grupos.

[snick]

¿por que no solo le das acceso remoto desde la misma base?, en mysql puedes definir usuario que se pueden conectar remotamente(desde cualquier lugar o desde una ip especifica), no tendrías que hacerle un usuario(del sistema) y podrías dejar limitado a un solo usuario(de mysql) el que tenga permiso de acceder remotamente

[g00mba]

¿por que no solo le das acceso remoto desde la misma base?, en mysql puedes definir usuario que se pueden conectar remotamente(desde cualquier lugar o desde una ip especifica), no tendrías que hacerle un usuario(del sistema) y podrías dejar limitado a un solo usuario(de mysql) el que tenga permiso de acceder remotamente

supongo que es porque no quiere dejar expuesta la bd directamente? es una forma mas controlada de acceso.