ispCP - Board - Support
zugriff auf ispcp datenbank: - Printable Version

+- ispCP - Board - Support (http://www.isp-control.net/forum)
+-- Forum: ispCP Omega International Area (/forum-22.html)
+--- Forum: German Corner (/forum-26.html)
+--- Thread: zugriff auf ispcp datenbank: (/thread-6735.html)

Pages: 1 2


zugriff auf ispcp datenbank: - menki - 05-15-2009 09:37 PM

hallo

ich arbeite mit der wh-com software zussammen um die webspace bestellungen an das ispcp zu übermitteln. das funktionierte bis jetzt ganz gut. ich habe aber beschlossen mehrere ispcp server zu haben die unter verschiedenen domainendungen zu erreichen wären. die hauptseite müsste dann die ganzen bestellungen annehmen und an den server den ich in den wh-com einstellungen definiert habe senden. dazu muss man in der wh-com software die ip-adresse des ispcp servers angeben. wenn man localhost eingibt funktioniert die bestellung perfekt (da der server lokal ist). sobald ich aber eine ip adresse von einem entfernten ISCP server eingebe schreibt mir die software das der zugriff auf die ispcp datenbank nicht gestattet ist! mit dem befehl mysql_secure_installation habe ich einen externen zugriff auf dem entfernten server erlaubt und trotzdem kommt die bestellung nicht durch. wenn ich einen externen zugriff auf die mysql daten erlaube dann müsste es normalerweise funktionieren. das tut es aber nicht....ich vermute ispcp blockt da irgendwas ab.

meine hauptseite rennt auf dem hauptserver menkisys.de. dort soll die bestellung entgegengenommen werden und dann sollte sie an einen entfernten ISPCP server übermittelt werden. und das genau in die datenbank ispcp und in die tabelle bestellungen.

die fragen stellen sich:

inwieweit ist das gut einen externen zugriff auf mysql daten zu gewährleisten?? ich kann in der wh-com software einstellen das ein anderer user (kein root) diese bestellung annehmen und weiterleiten soll. also bräuchte man von extern nur zugriff auf die ispcp datenbank und das nur in die bestellungen tabelle SONST NICHTS MEHR. wie kann ich das am besten realisieren?

ich habe einen admin ispcp login auf der menkisys forntseite schon realisiert. ich möchte den usern die möglichkeit geben auswählen zu können. wenn er eine subdomain mit der endung net hat dann könnte man das so einrichten das er als user in einer dropdown box die endung selbst wählt. durch diese definition würde er dann zum richtigen admin panel auf dem richtigen server geleitet werden.

grüße

MENKI


RE: zugriff auf ispcp datenbank: - BeNe - 05-15-2009 09:44 PM

Der exteren Zugriff auf eine MySQL DB ist nie schon Rolleyes
Wegen deinem Problem zum connect.

1.) Lauscht der MySQL auf deine externe IP ?
Kannst mal mit netstat checken:
Code:
netstat -an | grep 3306

2.) Firewall bzw. IPTABLES die das blocken ?

Um es sicherer zu gestalten könntest Du nur bestimmte IP´s den Zugang zu deinem MySQL Server geben. Oder kannst die Server untereinander mit VPN Vernetzen. So wäre alles lokal und verschlüsselt.
Einen eigenen Nutzer der nur auf die eine Datenbank schreiben darf kannst Du dann natürlich auch noch anlegen.

Greez BeNe


RE: zugriff auf ispcp datenbank: - menki - 05-15-2009 10:34 PM

das ist die ausgabe von netstat:

Code:
ks30540:~# netstat -an | grep 3306
tcp        0      0 127.0.0.1:3306          0.0.0.0:*               LISTEN
ks30540:~#

es wäre vollkommen ausreichend nur einer ip (hauptserver ip) das recht zu geben auf dem fremden server ispcp bestellungen zu machen.
zusätzlich könnte ich das ganze absichern indem ich nur einem user (kein root) den zugriff auf die ispcp datenbank gebe.

MENKI


RE: zugriff auf ispcp datenbank: - Knut - 05-15-2009 10:52 PM

Ein VPN zwischen den Servern hat am meisten Charme. Somit gehen wenigstens keine unverschlüsselten Daten übers Netz.


RE: zugriff auf ispcp datenbank: - BeNe - 05-15-2009 11:00 PM

Dein MySQL-Servver ist also nur auf die localhost 127.0.0.1 gebunden, nicht aber auf deine externe IP.
Schau dazu mal in die /etc/mysql/my.cnf

Code:
# Instead of skip-networking you can listen only on
# localhost which is more compatible and is not less secure.
bind-address            = 127.0.0.1

Hier ist auch noch etwas Lesestoff --> http://www.huschi.net/12_123_de-mysql-fuer-externen-zugriff-konfigurieren.html

Greez BeNe


RE: zugriff auf ispcp datenbank: - menki - 05-16-2009 12:09 AM

der erste server wird nur auf den zweiten server die bestellung durchreichen. die daten die dabei transferiert werden sind "unwichtig". es werden keine passwörter und dergleichen so übertragen. somit ist ein vpn nicht notwendig. Smile

es muss nur möglich gemacht werden das der server 1 zu dem server 2 die bestellung durchgibt. da ist der sinn und zweck der sache.

wenn das so eingerichtet wird dann besteht die mögöichkeit mehrere ispcp server über eine website zu verwalten. dadurch wären die server unabhängig voneinander administrierbar und insgesamt leichter. nach meiner erfahrung kann der apache viel tragen aber irgendwann wird er sich selbst träge da er soviel mitschleppen muss. auch die modsecurity frist ab 1500 domains enorme ressourcen des systems. und überhaupt ist apache für eine begrenzte anzahl an domains konzipiert.

@bene ich werde deinen vorschlag auf einer VM maschine testen.

danke

MENKI


RE: zugriff auf ispcp datenbank: - menki - 05-16-2009 11:49 PM

so der zugriff auf die ispcp datenbank funktioniert prima.

ich musste in der /etc/mysql/my.cnf bei bind dieses so anpassen:

bind-address = 0.0.0.0

ausserdem erstellte ich einen webspace_order user dem ich diese rechte gab:

Code:
GRANT SELECT , INSERT , UPDATE , DELETE ON `ispcp`.`hosting_plans` TO 'username'@'localhost' IDENTIFIED BY 'password';
GRANT SELECT , INSERT , UPDATE , DELETE ON `ispcp`.`orders` TO 'username'@'localhost';
GRANT SELECT (`admin_id` , `admin_name` , `admin_type`) ON `ispcp`.`admin` TO 'username'@'localhost';

ich kann jetzt von einem fremden server eine ispcp bestellung zu dem zweiten ispcp server durchsenden. der zweite ispcp server empfängt diese bestellung einwandfrei.

per telnet:

telnet ks30540.kimsufi.com 3306

komm ich jetzt problemlos rauf. ich habe aber auch unbedingt dem user webspace_order die einstellung im mysql "%" geben müssen. das heisst das man sich mit diesem user auch von aussen verbinden kann.

was ich auch bemerkt habe ist das alle von durch ispcp panel angelegte benutzer so aussehen (2 einträge in mysql):

2_nic % Ja USAGE
2_nic localhost Ja USAGE

dadurch wird der login von aussen AUCH möglich?! wie soll ich das ganze jetzt vernünftig absichern sodass keine externen logins möglich sind ausser mit dem einen webspace_order user der ja die bestellungen in die ispcp tabellen schreiben muss?

sicherheit ist mir enorm wichtig....

MENKI


RE: zugriff auf ispcp datenbank: - BeNe - 05-17-2009 03:29 AM

Quote:dadurch wird der login von aussen AUCH möglich?! wie soll ich das ganze jetzt vernünftig absichern sodass keine externen logins möglich sind ausser mit dem einen webspace_order user der ja die bestellungen in die ispcp tabellen schreiben muss?

sicherheit ist mir enorm wichtig....
Ja das ist leider noch so Shy
Aber solang der MySQL nur auf localhost hört passiert hier nicht viel.
In deinem Fall solltest Du es raus nehmen.

Greez BeNe


RE: zugriff auf ispcp datenbank: - steckibo - 05-17-2009 04:25 AM

Das heist, dass Dein MYSQL Server jetzt auf jeder verfügbaren IP Adresse lauscht, was überhaupt keine Sinn macht

Wenn Du einen Bind-Address auf eine einzige IP-Adresse machst, die nach draussen lauscht, dann langt das vollkommen. Z.B. Deine Hauptdomain hat die IP 123.132.123.132 dann machst Du einfach einen Bind-Address auf genau diese IP.

Sicherer und sinnvoller wäre es aber ein internes Netzwerk für die Server einzurichten, was jedoch einen zusätzlichen Switch bedingen würde.
Dann würdest Du bei den Bind-Address dann die interne Adresse angeben z.B. 192.168.97.1. Die Connects auf Localhost klappen dann immer noch ohne Probleme.

Bei einer solchen Konfiguration bin ich mir aber nicht ganz sicher, ob es Problem mit der IP Tables Konfiguration von ISPCP geben könnte, da ich damit erst seit wenigen Tagen teste.


RE: zugriff auf ispcp datenbank: - Knut - 05-17-2009 04:27 AM

Schau Dir mal folgenden Beitrag an: http://www.isp-control.net/forum/thread-5466-post-43860.html#pid43860

Dadurch werden die Nutzer ohne den zusätzlichen %-Eintrag angelegt, sprich die Nutzer können sich nur von localhost verbinden.

Gruß Knut