Jaký SQL program pro laika
Na svém pracovním PC tvořícím jakýsi server (s MS SBS 2003) mám nainstalován od Microsoftu SQL Express 2005. Instaloval jsem ho asi před dvěma roky a tehdy se mi to navíc jako lamě zdálo dosti složité. Nakonec jsem ho přestal používat, protože na serveru vznikaly nějaké bezpečnostní problémy s větším množstvím otevřených portů. Jakmile jsem je přes router zablokoval, tak už k žádnému útoku nedošlo.
Teď jsem objevil MySQL server 5, který se mi zdá velice BFU-přívětivý, o čemž svědčí skutečnost, že jsem jej nainstaloval na první pokus během pár minut. Navíc jsem na webu k němu našel dokonalého clienta (program Navicat). Nevím ale, jak to u něj bude vypadat s výše zmíněnou bezpečnostní problematikou otevřených portů. Zatím mám pocit, že se nevzájem liší jen číslem 1433 vs. 3306.
Proto bych se chtěl zeptat, který z nich byste mi doporučili. Předesílám, že moje databáze na SQL severu je velice jednoduchá; v podstatě se jedná o seznam knih a DVD, ke kterým budu přistupovat vzdáleně z PDA. V této souvislosti jsem ke svému údivu zjistil, že zatímco pro přístup k MS SQL Express serveru je pro WM k dispozici několik freeware programů, u MySQL jsou jednom placené s cenou pohybující se kolem 150 USD, což je pro programy na téhle platformě poměrně dost.
Doporučil bych ti jiný přístup.
Mít z venku přístupný port 1433 si samo o sobě říká o napadení.
Proč si ten port nepřesměruješ na routeru, aby z venku nebyl 1433, ale byl to např. port 27654?
Protože otázka forwardingu portů je pro mě asi něco jako hegelovská dialektika pro tučňáka patagonského.
Mozna pro tebe, ale je to reseni, ktere muzes udelat okamzite, bez instalace dalsiho softu a zmen na PDA a dalsich zarizenich. Tam bys pouse upravil pripojeni k MS SQL (zmena portu).
Stejne jsi musel ten port 1433 na routeru presmerovat ven, pokud jsi nevystavil cely pocitac ven do internetu.
Problem je v tom, ze utocnik na internetu skanuje standardni porty a vyhledava bezpecnostni diry. Proto bezpecnostni politika y mela spocivat v tom, abys do internetu otevrel pouze skutecne to, co potrebujes a kdyz uz potrebujes nejaky port do internet otevrit, udelej to tak, aby ho utocnik nenasel tam, kde jej ocekava.
DAlsi vec je, ze MySQL neni zdarma, jak si spousta lidi mysli. Zdarma je pouze za urcitych podminek.
Budu si holt muset někomu říci, aby mi na routeru ty porty přesměroval na vyšší čísla.
Ten MySQL chci používat pro nekomerční účely a na jejich stránce jsem nenašel, že by to bylo jakkoli zpoplatněné.
Je to GPL licence, zdarma je k dispozici, pokud poskytnes na pozadani zdrojove kody k aplikaci, ktera MySQL pouziva
Co se tyka bezpecnosti, asi na tom bude MySQL lip - neni tak provazana se systemem, takze napadeni by nemelo (napr. krome stazeni dat z databaze) mit tak fatalni ucely jako na MS SQL, ktere pokud to mas povolene v konfiguraci ti umozni pristup k pocitaci a spousteni veci na nem
ono změnit port nestačí, chytrý scanner se podívá na signaturu a je "doma".
Skenovani portu pri hromadnych utocich zvenku nebude skenovat tak vysoke porty.
Jinak jsem koukal na svůj router (Linksys WRT54G3G) a nikde jsem tam možnost přenastavování portů nenašel.
Kazdy normalni router to ma.
Zkus se kouknout sem:
http://portforward.com/english/routers/port_forward ing/Linksys/WRT54G3G/
Omlouvám se, že s tím otravuju, ale v tom návodu jsem nenašel tu Tvoji fintu, jak nastavit, aby port 1433, resp. 3306 byl umístěn např. jako 25834. Matně si ale vzpomínám, že na mém předešlém routeru Asus něco takového k nastavení bylo.
Tohle bylo, co jem nasel k tvemu routeru, Mozna opravdu umi jen vystavit port do internetu.
Pak je dalsi moznost - na tom MS SQL si muzes v konfiguraci (Server Configuration manager) nastavit TCP/IP port, jak potrebujes. MySQL to bude mit jako soucast konfigurace nebo to bude v nejakem textovem konfiguracnim souboru.
Takze to nastav primo na SQL serveru a na svem routeru jen nechej ten port zverejnit.
Musím se pochlubit, že k tomuhle závěru jsem dospěl taky a ten TCP port nastavil přímo jako admin MySQLserveru. Takže všechno chodí jak má, port má nesmyslně vysoké číslo a všemu vévodí klient Navicat8. Přiznám se, že mne už dlouho nějaký kus SW takhle nenadchnul.
Jediná chyba je, že pro MySQL se neprodávají 20 USD-klienti pro WM, takže na server musím přes Terminal Services, čímž se ale zase dostanu ke svému milenému Navicatu.
Přátelé, díky všem za pomoc, značím jako vyřešeno.
Databazi NIKDY, OPAKUJI NIKDY nenechavej pristupnou volne ze sveta. Vetsina databazi neni schopna odolat, byt i malemu DOS utoku a je s tim spojena spousta bezpecnostnich rizik, nehlede k tomu, ze data internetem tecou v nesifrovane v textove podobe ( jednoduse odchytitelne heslo ).
Pristup k databazi by mela VZDYCKY zajistavat nejaka aplikace na strane serveru, ktera 1) resi konflikty 2) zajistuje bezpecnost 3) omezuje mnozstvi dat ke klientovi. Jako aplikace muze slouzit napriklad jednoducha stranka na webovem serveru.
O ten obsah databází mi až tak nejde. Jak jsem psal, jedná se jen o seznam knih a DVD, které mám, neboť při koupi nových si musím ověřit, zda je už nemám doma.
S tím přístupem k databázi bych to viděl tak, že těsně před ním bych si nějakým způsobem spustil příslušnou MySQL službu a po využití databáze ji zase zastavil.
Pokud se chceš jen podívat na seznam knih, tak taková jednoduchá skriptová webová stránka se dá spíchnout velmi jednoduše. Například pomocí tohoto:
http://www.sqlmaestro.com/products/mysql/phpgenerat or/
Pokud nechceš měnit databázi a zůstat u MS SQL, tak tamtéž je MS SQL PHP generátor.
Vladimíre díky, dostat se tam přes webovou stránku mne nenapadlo; přiznám se, že na vině je má snížená aspirace BFU.
V každém případě je to dobrý nápad a vyřešil by mi stávající nedostatek MySQL-klienta pro WM, o kterém píšu shora.
Co je nejdležitější, mohl bys v klidu na routeru zablokovat port na kterém db poslouchá.
Přes ten skript co to vygeneruje jde záznamy i vkládat a upravovat.
No tak to by už fakt nemělo chybu. Jdu na to.
I kdyby se mi to nepovedlo, můžu machrovat, že dělám v PHP.
Ale vzdyt jsme to uz psal i ja, fnuk:
Přiznal jsem se jak v názvu threadu, tak i v jeho textu, že jsem lama, takže jsem Ti ohledně té aplikace-webové stránky neporozuměl.
O co jde, jsem trošku pochopil až z toho Vladimírem zmiňovaného PHP generátoru. Budiž však řečeno, že mi stejně generuje nesmysly. Nemám na to, protože mi chybí elementární základy.