Connexion depuis l'extérieur

L'auteur de ce sujet a trouvé une solution à son problème.
Auteur du sujet

Bonjour,

Je débute avec mysql et j'aimerais pouvoir me connecter de l'extérieur avec un logiciel de gestion de bases de données (sur Windows) de façon sécurisée à mon serveur mysql.
Mon serveur utilise Debian 8.

J'ai commenté les lignes suivantes dans le fichier de configuration mysql

1
2
# skip-external-locking
# bind-address = 127.0.0.1

Et j'ai exécuté ces requêtes sur le serveur mysql

1
2
GRANT ALL PRIVILEGES ON *.* TO 'root'@'%' IDENTIFIED BY '******' WITH GRANT OPTION;
FLUSH PRIVILEGES;

J'arrive à présent à me connecter depuis l'extérieur à mon serveur MySQL.
Mais cette façon de faire est-elle sécurisé et bonne ?

Merci d'avance pour votre aide !


Edit SpaceFox : j'ai supprimé le mot de passe que tu avais laissé là…

Édité par SpaceFox

+0 -0
Staff

Cette réponse a aidé l'auteur du sujet

Beaucoup de logiciels de gestions de BDD (à commencer par MySQL Workbench, le logiciel « officiel » pour MySQL : connexion method : Standard TCP/IP over SSH) acceptent nativement les connexions via un tunnel SSH. Ça permet de laisser le serveur MySQL n'écouter que en local.

Si tu as activé la connexion SSH sur ton serveur Debian, il n'y a pas de configuration spécifique pour que ça fonctionne (dans ton cas, il faut toutefois remettre la configuration d'origine de MySQL).

Auteur du sujet

Merci pour ta réponse.
D'accord, donc la méthode la plus sécurisé serait d'utiliser un tunnel SSH.
J'ai ajouté ces lignes dans /etc/ssh/sshd_config car Navicat m'affichait Server does not support diffie-hellman-group1-sha1 for keyexchange, ça pose des problèmes de sécurité ?

1
2
KexAlgorithms diffie-hellman-group1-sha1,curve25519-sha256@libssh.org,ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521,diffie-hellman-group-exchange-sha256,diffie-hellman-group14-sha1
Ciphers 3des-cbc,blowfish-cbc,aes128-cbc,aes128-ctr,aes256-ctr

Édité par Paul64

+0 -0

Cette réponse a aidé l'auteur du sujet

Je ne peux pas répondre à ta dernière question mais je rajoute juste quelques infos par rapport à SSH :

  • Désactiver le login en tant que root. Tu pourras toujours utiliser sudo ou su.
  • Configurer une gestions des ips à bannir, pour éviter les attaques par bruteforce.
  • De préférence, configurer des clefs de connexion et désactiver la connexion par mot de passe.

La vie, c'est comme les mirabelles

+0 -0

Configurer une gestions des ips à bannir, pour éviter les attaques par bruteforce.

Pour ça je te recommande vivement fail2ban.

Sinon pour les algos de chiffrement, le triple DES est probablement le plus faible de la liste; à mon avis pas de risque majeur d'intrusion, en-dehors de la NSA.

Petite question, quels sont les avantages significatifs de ces logiciels par rapport à PHPMyAdmin ou Adminer ? A part qu'il ne faut pas installer Apache+PHP ?

Ma plateforme avec 23 jeux de société classiques en 6 langues et 13000 joueurs: http://qcsalon.net/ | Apprenez à faire des sites web accessibles http://www.openweb.eu.org/

+0 -0
Staff

A part qu'il ne faut pas installer Apache+PHP ?

C'est déjà un énorme avantage. Le second, c'est que le logiciel ne tourne pas sur ton serveur, c'est toujours ça de moins à maintenir, c'est des risques d'attaque en moins, et c'est des performances en plus. Typiquement, PHPMyAdmin est systématiquement tenté par les scripts d'attaque (les machins qui tentent d'accéder à des URLs / utilisateurs plus ou moins à l'aveugle).

Auteur du sujet

Merci pour vos réponses

Sinon pour les algos de chiffrement, le triple DES est probablement le plus faible de la liste; à mon avis pas de risque majeur d'intrusion, en-dehors de la NSA.

D'accord. Bah je pense pas que la NSA essayerait d'obtenir un accès à mon serveur D;

Configurer une gestions des ips à bannir, pour éviter les attaques par bruteforce.

Pour ça je te recommande vivement fail2ban.

@Phigger Merci pour les conseils !
J'utilise déjà fail2ban pour SSH et je peux dire que ça marche très bien car j'ai très souvent des robots chinois ou russes qui sont bannis (sur ma raspberry) .

Édité par Paul64

+0 -0
Vous devez être connecté pour pouvoir poster un message.
Connexion

Pas encore inscrit ?

Créez un compte en une minute pour profiter pleinement de toutes les fonctionnalités de Zeste de Savoir. Ici, tout est gratuit et sans publicité.
Créer un compte