MySQL von aussen zugänglich / Bedenken Sicherheit

    Ich habe für eine Freundin die Wordpress Installation auf netcup gezügelt. Jetzt habe ich gesehen, dass der Datenbankserver laut WCP->Datenbanken von aussen zugelassen wird (Remoteverbindungen von beliebigem Host zulassen). Das macht mir ehrlich gesagt bisschen Sorge. Am liebsten würde ich das alles abschotten und von aussen nichts zulassen. Weis nicht ob das paranoid ist oder ob das einfach so von meinen bisherigen VPS Gewohnheit ist... Mich würde interessieren ob die Sorge grundlos ist.

    Was mich auch etwas irritiert, das Passwort ist leer beim Datenbankbenutzer - was bedeutet das?* ;)

    Laut Plesk-Handbuch gibt es wohl auch die Option nur lokale Verbindungen zuzulassen, aber ich hab die im Plesk nicht gefunden.

    Ich könnte natürlich auch "Remoteverbindungen zulassen von" anhakeln und dann 127.0.0.1 eintragen, aber das fühlt sich irgendwie komisch an ;)


    *) kann sein dass ich das damals eingetragen hab und nun vergessen hab... muesste ich mal in der wp-config nachgucken

    edit #2: gerade versucht mit den Zugangsdaten der wp-config zu verbinden. Das sieht so aus als wenn er jetzt einfach ewig hängen würde.

    [oli@DESKTOP-E83VF5L ~]$ mysql -u xxx -p -D xxx -h s.o.m.e.i.p

    Enter password:


    Und danach kommt nichts mehr

    localhost (Socket) bzw. 127.0.0.1 (TCP) wird beim Webhosting nicht klappen, da Web- und Datenbankserver getrennte Systeme sind.


    Was aber definitiv geht: Nur die interne IP-Adresse des Webhostingservers (10.x.x.x) zulassen. Die muss man aber erst raus finden bzw. von der öffentlichen IPv4-Adresse umrechnen. (Was ich mir am Handy gerade nicht antun möchte. Im Forum und Wiki gibt es einige Hinweise dazu.)


    Das Passwortfeld ist leer, da das Passwort nur als Hash gespeichert wird. Das kann somit nicht mehr im Klartext angezeigt werden. Und das ist auch gut so.

    "Wer nur noch Enten sieht, hat die Kontrolle über seine Server verloren." (Netzentenfund)

    hm ok verstehe. Frage mich gerade ob es eine Liste der internen IPs/Ranges gibt. Dann könnte ich in die erlaubten Hosts die Range eintragen, dann hätte ich praktisch "keine Verbindung zulassen, ausser aus dem netcup-System".

    Einfache Methode

    Öffne das CCP, dort siehst Du bei Deinem Webhosting z.B. Folgendes:


    Bildschirmfoto_2022-02-25_18-14-00.png


    Die interne IP-Adresse des Webservers wäre in diesem Fall: 10.35.47.93


    Wenn Du nur Verbindungen von dieser IP-Adresse aus zulässt, hast Du Dein gewünschtes Verhalten. Extra nochmals getestet :)


    Aber Achtung: Zum Verbinden zur Datenbank muss dann logischerweise auch die interne IP-Adresse (10.35.47.94) verwenden werden!



    Alternative Methode

    Und für die Nachwelt: Mit folgendem kleinen PHP-Script kann man die IP-Adresse ebenfalls herausfinden:

    PHP: test.php
    <?php

error_reporting(-1);
ini_set('display_errors', 1);
mysqli_connect('10.35.47.94'); // <!-- HIER DIE INTERNE IP-ADRESSE DES MYSQL-SERVERS EINTRAGEN!

    Es sollte dann eine aussagekräftige Fehlermeldung erscheinen…

    Zitat

    Warning: mysqli_connect(): (HY000/1045): Access denied for user ''@'10.35.47.93' (using password: YES) in test.php on line 5

    Das könnte man auch über SSH ausführen, da ist es nur ein Einzeiler: /usr/local/php81/bin/php -r "mysqli_connect('10.35.47.94');"

    "Wer nur noch Enten sieht, hat die Kontrolle über seine Server verloren." (Netzentenfund)

    3 Mal editiert, zuletzt von KB19 ()

    Gefällt mir 2