たてやんっす

MySQL 自体は　3306 ポートをふさぐことでとりあえず外部からMySQL
直接の攻撃はできなくなります
もっと安心なのは　外部とMySQLをつなぐことが不要ならばUNIXソケットのみ
使ってPHPやPerlと接続すれば安全性は高まります（あえて安全とは言いませ
ん）
my.cnf の[mysqld]　セクション内に
skip-networking
と記述するか、mysqldの起動オプションとして--skip-networkingを
記述します

WebサーバのCGIと組み合わせる限り上記でも安心とはいかないのが現状です

moeruさんの
題名「[mysql 06782] Re: SQL サーバのセキュリティ確保」のメールからの引用です
> 
> 
> モエルです。
> 
> 便乗で勉強させて下さい。
> 
> >　　直接Webサーバをインターネット閲覧者に見せるのは怖いですよ。
> >　　（OSやWebサーバソフトにもよるのですが、、、攻撃が一杯です。）
> 
> 実際、攻撃の被害を受けたことがあります(^^;
> なので、今後MySQLを単独に分けたいと思ってます。
> 
> 現在、WEB ServerにMySQL Serverも入ってます。
> NIC３枚というお話も出てますが、２枚じゃ弱いでしょうか？
WEB ServerにNIC３枚ということでしょうか？
でも　WebServerから直接MySQL Server に接続できるなら変わらないのでは？

> こんな感じの設定を考えています。
> 
> インターネット
> |
> ルーター(MySQLのport3306は拒否)
> |
> |
> WEB Server（インターネットのユーザーは、PHP経由でMySQLＤＢを閲覧・更新）
> 　　　　　　ipchains,iptables等で必要以外のポートを拒否
> 　　　　　 eth0(グローバルアドレス)
> 　　　　　 eth1(192.168.0.1) 
>                   |
>                   |
>                   MySQL Server eth0(192.168.0.2)
> 
> 
> ＊外部に公開するプログラムでＤＢの更新可能(update,insert)の権限になってる場合
> 　プログラムに穴があれば、WEB Serverがローカルネットでもアタックされますよね？たぶん。。
アタックといってもいろんなものがありますね
　侵入（書き換えなど）・侵入後バックドアによる踏み台・
　サービス不能攻撃などなど、考えるとどんなことしてもサービスをユーザに
提供する限りはアタックありです（上記構造でも　サービス不能攻撃はありと
言いたいだけ）
　　
たとえば　Webサーバからユーザのデータ照会をMySQLを利用する部分のCGIのURL
を外部のWebブラウザから繰り返しリロードするだけで、結構な負担になります
まぁ　Webサーバ自体も俗に言うF5攻撃されると・・・
この辺は　Apache付属のab (apache bench)などを利用してどの程度までの負担
に耐えられるのかもあらかじめ検証しておくことも必要かも知れません。
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
  彡彡从        たてやんっす
 d□/□-ｂ      <tateyan@xxxxxxxxxx>
 ヽ"ー"丿

Key fingerprint = 5D56 8EA3 B9FE A721 4866  FB4A 0041 672C 08DD C33A