OVH Community, your new community space.

Połączenie pomiędzy serwerami po publicznym IP


OPTRONET
10-09-2012, 18:59
Cytat Napisał bartek.b
Nie myślałem o pracownikach OVH, bo Ci i tak mają klucze na serwerze.
Przece z możesz się tych kluczy pozbyć, co to za problem? Usuwasz .ssh/authorized_keys2 z katalogu domowego

Linux admin
10-09-2012, 17:22
Ja po prostu zestawiam IPSec pomiędzy takimi serwerami - daje to autentykację i szyfrowanie, nie trzeba nic zmieniać w konfiguracji bazy czy klienta.

victor
10-09-2012, 16:04
Cytat Napisał tefnet
Teoretycznie, przypadkiem może podsłuchać jak na tym samym switchu jest. Kiedys przypadkiem na interfejsie w promisc mode widzialem ruch innych serwerów :|
Jaki ruch, moze to były zapytania arp lub broadcasty. Jak ktoś nie robi arp spoofingu to switch to nie hub, jak sama jego nazwa mówi...

victor
10-09-2012, 16:02
Cytat Napisał tefnet
Inna sprawa to to, że poprawnie skonfigurowany serwer baz danych komunikuje się po WAN protokołem szyfrowanym.
Serwer jak nazwa mówi odbiera połaczenia. Serwer to najwyżej może dawać możliwośc połaczeń szyfrowanych. To zależy od klienta łączącego się do bazy danych. Szyfrowanie w rozszerzeniu mysql w php nie istnieje, a w mysqli jest kiepsko rozwiązane. Pozatym sama bilioteka klienta mysql jest skopana pod względem wyłączenia weryfikacji certyfikatu serwera oraz sam serwer mysql zdaje się nie potrafi serwować certyfikatów pośredniczących. także wydaje mi sie ze nie spotkałem oprogramowania php które umożliwia ustawienie połaczenia szyfrowanedo do serwera mysql, a widzialem tego badziewia setki

victor
10-09-2012, 15:59
Jak się boisz podsłuchu to ustaw vpn lub dla mysql-a który działa na jednym porcie nawet łatwiej tunel ssh. Spodziewaj się pożarcia sporej mocy cpu w przypadku dużego ruchu.

tefnet
10-09-2012, 10:38
Teoretycznie, przypadkiem może podsłuchać jak na tym samym switchu jest. Kiedys przypadkiem na interfejsie w promisc mode widzialem ruch innych serwerów :|
Inna sprawa to to, że poprawnie skonfigurowany serwer baz danych komunikuje się po WAN protokołem szyfrowanym.

Arkoso
10-09-2012, 09:06
Jeśli ktoś by chciał to robić, to życzę mu powodzenia w przebiciu się przez miliony/miliardy(?) pakietów z P2P.

bartek.b
10-09-2012, 09:00
Nie myślałem o pracownikach OVH, bo Ci i tak mają klucze na serwerze. Myślałem, że jakiś klient OVh mógłby przechwytywać ruch. Przecież nieraz mam skanowanie portów z sieci OVH.
Nie mam jednak wiedzy, żeby stwierdzić czy snifowanie w sieci OVh jest możliwe.

borec
10-09-2012, 08:40
A kto miałby Cię podsłuchiwać? Pracownicy OVH? Pomyśł, jaki ruch przechodzi po ich wewnętrznej sieci. Mało prawdopodobne, żeby komuś na tym zależało.

bartek.b
10-09-2012, 08:38
Zastanawiam się czy połączenie między serwerem bazy danych, a serwerem www, które są dwiema oddzielnymi maszynami może być bezpiecznie realizowane po publicznych adresach IP z OVH. Na serwerze bazy danych zablokowane byłyby wszystkie adresy IP na wszystkich portach, a odblokowane tylko te z serwera www i adresy administratora.
Alternatywą dla tego rozwiązania jest Wirtualna Szafa, ale do tego trzeba wykupić zastosowanie profesjonalne, a to kosztuje. Do tego Wirtualna Szafa nie ma gwarancji SLA.

Przy łączeniu się po adresach publicznych zastanawiam się nad możliwością podsłuchu ruchu z i do bazy danych. Np. hasła użytkownika, który loguje się do aplikacji.

Co polecacie w takiej sytuacji?