|
|
ВНИМАНИЕ: Използвайте форумите на сайта за дa зададете вашите въпроси.
Въпрос |
От: Mitko |
Дата: 09/13/2004 |
Zdraveite, imam 2 problema, izpolzvam Slackware:
1. Stava na vapros za MySQL. Vsi4ko mi raboti idelno s nego
imam samo 1 user dobaven v SQL-a i mi e dostacen. Dostap do
SQL izpolzvam samo ot scriptove na PHP i Perl ot apacheto
mi. Vaprosa mi e slednia ako zabranj dostapa do port 3306
otvan i ostane samo localnia dostap i po tocno dostapa na
APACHETO da izpolzva SQL-a, SQL-a ste raboti li normalno ili
ste blokiram celia dostap? Nesto ot tozi rod iskam da
sloja:
iptables -A INPUT -i eth0 -p TCP --dport 3306:3306 -j DROP
eth0 e kartata ot kojto mi vliza interneta, po tozi nacin
sam filtriral FTP-to i njmam problem. Ot van njmam dostap do
FTP-to, ima samo za localnite IP-ta.
Iskam da napravj tova da sam siguren ce njma da ima opiti za
razbivane na SQL-a.
2. Apacheto mi raboti idealno, no imam papka kojto sadarja
snimki i txt failove koito sa cast ot bazata mi na SQL-a. No
kato napisha darecem http://192.168.1.1/photos/10.jpg i moje
da vida snimkata ili http://192.168.1.1/data/data.txt moje
da vida tekstovia fail. Za txt failovete njma problem te sa
2 no iskam snimkite nikoi osven samoto Apache da nemoje da
si gi otvarj, njkakva idej ?
I za SQL-a i za snimkite imam realen IP adres varzan s
domain. Idejta e ot tozi domain koito vleze i vleze v bazata
da moje da ima dostap do nej... t.e. blokiraneto na SQL-a da
stava samo za direkna vrazka razlicna ot realnoto mi ip i
vatresnite, ot vsi4ki drugi da reje. I Apacheto web
stranickite i PHP stanickite kato zarejdat snimki da si gi
pokazvat a da nemoje direkno da se vidjt snimkite kato se
napishe URL-a.
Nadjvam se da ste me razbrali kakvo tocno iskam da napravj.
Mersi
|
Отговор #1 |
От: Н. Антонов (nikola (a) linux-bg __точка__ org) |
Дата: 09/13/2004 |
И на двете неща може да се намери решение.
1. Ако apache и mysql са на една и съща машина, те си
комуникират не по TCP, а по Unix sockets. Можеш напълно да
изключиш mysql да не слуша на никакъв порт с параметъра
skip-networking в my.cnf. BTW, достъпът до mysql може да се
контролира и с tcpd (/etc/hosts.allow, /etc/hosts.deny). Ако
направиш това, не ти трябва изобщо да си играеш с iptables.
2. За да забраниш на външни клиенти да достъпват дадена
директория, сложи в нея един файл .htaccess с примерно
съдържание:
Order allow,deny
Allow from 127.0.0.1
Така достъп до директорията ще имат само локално
изпълняваните скриптове и никой няма да може да я браузва
директно.
Това е, ако съм те разбрал правилно.
|
Отговор #2 |
От: Mitko |
Дата: 09/13/2004 |
Mersi Nikola, otnosno SQL-a vsicko e OK po nacina koito si
kazal, a otnosno Apacheto. Tocno tova iskam no podrazbirane
browzvane na papkata e zabraneno.
Idejata za apacheto e kato se napishe
http://domain.bg/photos/10.jpg da ne se zaredi snimkata a da
se zarejda samo ot apacheto, po patj na logikata mi se vijda
malko nevazmojno no vse pak iskam da pitam moje li da se
napravi nesto po tozi vapros, zastoto njkoi koito znae ako
napishe darecem s wget napravi mirror na papkata ste svali
vsicko ot nej, a men mi se iska tuk da go spre tova e.
A tezi snimki sa cast ot bazata mi na SQL.
Mersi Nikola
|
<< text mode resolution (3
) | Iptables, ICQ и GPRS (2
) >>
|
|
|
|
|