使用iptables設(shè)置防御MySQL攻擊,可以采取以下步驟:
- 禁止外部訪問3306端口:MySQL的默認(rèn)端口是3306����,這是外部攻擊者最可能嘗試連接的端口。你可以通過以下命令禁止外部訪問此端口:
sudo iptables -A INPUT -p tcp --dport 3306 -j DROP
這條命令會(huì)阻止所有嘗試通過TCP協(xié)議訪問3306端口的流量���。
- 限制本地訪問速率:你可以限制來(lái)自本地機(jī)器的訪問速率,以防止暴力破解密碼等攻擊。以下命令將限制每分鐘最多5個(gè)新的連接嘗試:
sudo iptables -A INPUT -p tcp --dport 3306 -m state --state NEW -m recent --set
sudo iptables -A INPUT -p tcp --dport 3306 -m state --state NEW -m recent --update --seconds 60 --hitcount 5 -j DROP
第一條命令會(huì)創(chuàng)建一個(gè)新的規(guī)則����,記錄所有嘗試連接到3306端口的流量。第二條命令則會(huì)根據(jù)記錄的流量信息����,如果某個(gè)IP地址在60秒內(nèi)嘗試連接超過5次,就將其加入黑名單并阻止其后續(xù)的連接嘗試����。
- 允許特定IP地址訪問:如果你知道哪些IP地址是可信的,可以允許這些IP地址訪問MySQL���。例如����,以下命令將允許IP地址192.168.1.100訪問3306端口:
sudo iptables -A INPUT -p tcp -s 192.168.1.100 --dport 3306 -j ACCEPT
- 啟用防火墻:確保你的系統(tǒng)防火墻已啟用并正確配置����。在Debian/Ubuntu系統(tǒng)上,你可以使用以下命令啟用并配置ufw防火墻:
sudo ufw enable
sudo ufw allow 3306/tcp
在CentOS/RHEL系統(tǒng)上����,你可以使用以下命令啟用并配置firewalld防火墻:
sudo systemctl enable firewalld
sudo firewall-cmd --permanent --add-service=mysql
sudo firewall-cmd --reload
請(qǐng)注意���,以上命令僅供參考,具體配置可能因系統(tǒng)版本和需求而有所不同���。建議在進(jìn)行任何更改之前備份重要數(shù)據(jù)����,并仔細(xì)閱讀相關(guān)文檔或咨詢專業(yè)人士的意見����。
