Current time: 11-24-2024, 08:08 AM Hello There, Guest! (LoginRegister)


Post Reply 
zugriff auf ispcp datenbank:
Author Message
menki Offline
Member
***

Posts: 643
Joined: May 2008
Reputation: 0
Post: #1
zugriff auf ispcp datenbank:
hallo

ich arbeite mit der wh-com software zussammen um die webspace bestellungen an das ispcp zu übermitteln. das funktionierte bis jetzt ganz gut. ich habe aber beschlossen mehrere ispcp server zu haben die unter verschiedenen domainendungen zu erreichen wären. die hauptseite müsste dann die ganzen bestellungen annehmen und an den server den ich in den wh-com einstellungen definiert habe senden. dazu muss man in der wh-com software die ip-adresse des ispcp servers angeben. wenn man localhost eingibt funktioniert die bestellung perfekt (da der server lokal ist). sobald ich aber eine ip adresse von einem entfernten ISCP server eingebe schreibt mir die software das der zugriff auf die ispcp datenbank nicht gestattet ist! mit dem befehl mysql_secure_installation habe ich einen externen zugriff auf dem entfernten server erlaubt und trotzdem kommt die bestellung nicht durch. wenn ich einen externen zugriff auf die mysql daten erlaube dann müsste es normalerweise funktionieren. das tut es aber nicht....ich vermute ispcp blockt da irgendwas ab.

meine hauptseite rennt auf dem hauptserver menkisys.de. dort soll die bestellung entgegengenommen werden und dann sollte sie an einen entfernten ISPCP server übermittelt werden. und das genau in die datenbank ispcp und in die tabelle bestellungen.

die fragen stellen sich:

inwieweit ist das gut einen externen zugriff auf mysql daten zu gewährleisten?? ich kann in der wh-com software einstellen das ein anderer user (kein root) diese bestellung annehmen und weiterleiten soll. also bräuchte man von extern nur zugriff auf die ispcp datenbank und das nur in die bestellungen tabelle SONST NICHTS MEHR. wie kann ich das am besten realisieren?

ich habe einen admin ispcp login auf der menkisys forntseite schon realisiert. ich möchte den usern die möglichkeit geben auswählen zu können. wenn er eine subdomain mit der endung net hat dann könnte man das so einrichten das er als user in einer dropdown box die endung selbst wählt. durch diese definition würde er dann zum richtigen admin panel auf dem richtigen server geleitet werden.

grüße

MENKI
(This post was last modified: 05-15-2009 09:41 PM by menki.)
05-15-2009 09:37 PM
Find all posts by this user Quote this message in a reply
BeNe Offline
Moderator
*****
Moderators

Posts: 5,899
Joined: Jan 2007
Reputation: 68
Post: #2
RE: zugriff auf ispcp datenbank:
Der exteren Zugriff auf eine MySQL DB ist nie schon Rolleyes
Wegen deinem Problem zum connect.

1.) Lauscht der MySQL auf deine externe IP ?
Kannst mal mit netstat checken:
Code:
netstat -an | grep 3306

2.) Firewall bzw. IPTABLES die das blocken ?

Um es sicherer zu gestalten könntest Du nur bestimmte IP´s den Zugang zu deinem MySQL Server geben. Oder kannst die Server untereinander mit VPN Vernetzen. So wäre alles lokal und verschlüsselt.
Einen eigenen Nutzer der nur auf die eine Datenbank schreiben darf kannst Du dann natürlich auch noch anlegen.

Greez BeNe
05-15-2009 09:44 PM
Visit this user's website Find all posts by this user Quote this message in a reply
menki Offline
Member
***

Posts: 643
Joined: May 2008
Reputation: 0
Post: #3
RE: zugriff auf ispcp datenbank:
das ist die ausgabe von netstat:

Code:
ks30540:~# netstat -an | grep 3306
tcp        0      0 127.0.0.1:3306          0.0.0.0:*               LISTEN
ks30540:~#

es wäre vollkommen ausreichend nur einer ip (hauptserver ip) das recht zu geben auf dem fremden server ispcp bestellungen zu machen.
zusätzlich könnte ich das ganze absichern indem ich nur einem user (kein root) den zugriff auf die ispcp datenbank gebe.

MENKI
(This post was last modified: 05-15-2009 10:36 PM by menki.)
05-15-2009 10:34 PM
Find all posts by this user Quote this message in a reply
Knut Offline
Member
***

Posts: 736
Joined: Nov 2006
Reputation: 10
Post: #4
RE: zugriff auf ispcp datenbank:
Ein VPN zwischen den Servern hat am meisten Charme. Somit gehen wenigstens keine unverschlüsselten Daten übers Netz.
05-15-2009 10:52 PM
Find all posts by this user Quote this message in a reply
BeNe Offline
Moderator
*****
Moderators

Posts: 5,899
Joined: Jan 2007
Reputation: 68
Post: #5
RE: zugriff auf ispcp datenbank:
Dein MySQL-Servver ist also nur auf die localhost 127.0.0.1 gebunden, nicht aber auf deine externe IP.
Schau dazu mal in die /etc/mysql/my.cnf

Code:
# Instead of skip-networking you can listen only on
# localhost which is more compatible and is not less secure.
bind-address            = 127.0.0.1

Hier ist auch noch etwas Lesestoff --> http://www.huschi.net/12_123_de-mysql-fu...ieren.html

Greez BeNe
05-15-2009 11:00 PM
Visit this user's website Find all posts by this user Quote this message in a reply
menki Offline
Member
***

Posts: 643
Joined: May 2008
Reputation: 0
Post: #6
RE: zugriff auf ispcp datenbank:
der erste server wird nur auf den zweiten server die bestellung durchreichen. die daten die dabei transferiert werden sind "unwichtig". es werden keine passwörter und dergleichen so übertragen. somit ist ein vpn nicht notwendig. Smile

es muss nur möglich gemacht werden das der server 1 zu dem server 2 die bestellung durchgibt. da ist der sinn und zweck der sache.

wenn das so eingerichtet wird dann besteht die mögöichkeit mehrere ispcp server über eine website zu verwalten. dadurch wären die server unabhängig voneinander administrierbar und insgesamt leichter. nach meiner erfahrung kann der apache viel tragen aber irgendwann wird er sich selbst träge da er soviel mitschleppen muss. auch die modsecurity frist ab 1500 domains enorme ressourcen des systems. und überhaupt ist apache für eine begrenzte anzahl an domains konzipiert.

@bene ich werde deinen vorschlag auf einer VM maschine testen.

danke

MENKI
05-16-2009 12:09 AM
Find all posts by this user Quote this message in a reply
menki Offline
Member
***

Posts: 643
Joined: May 2008
Reputation: 0
Post: #7
RE: zugriff auf ispcp datenbank:
so der zugriff auf die ispcp datenbank funktioniert prima.

ich musste in der /etc/mysql/my.cnf bei bind dieses so anpassen:

bind-address = 0.0.0.0

ausserdem erstellte ich einen webspace_order user dem ich diese rechte gab:

Code:
GRANT SELECT , INSERT , UPDATE , DELETE ON `ispcp`.`hosting_plans` TO 'username'@'localhost' IDENTIFIED BY 'password';
GRANT SELECT , INSERT , UPDATE , DELETE ON `ispcp`.`orders` TO 'username'@'localhost';
GRANT SELECT (`admin_id` , `admin_name` , `admin_type`) ON `ispcp`.`admin` TO 'username'@'localhost';

ich kann jetzt von einem fremden server eine ispcp bestellung zu dem zweiten ispcp server durchsenden. der zweite ispcp server empfängt diese bestellung einwandfrei.

per telnet:

telnet ks30540.kimsufi.com 3306

komm ich jetzt problemlos rauf. ich habe aber auch unbedingt dem user webspace_order die einstellung im mysql "%" geben müssen. das heisst das man sich mit diesem user auch von aussen verbinden kann.

was ich auch bemerkt habe ist das alle von durch ispcp panel angelegte benutzer so aussehen (2 einträge in mysql):

2_nic % Ja USAGE
2_nic localhost Ja USAGE

dadurch wird der login von aussen AUCH möglich?! wie soll ich das ganze jetzt vernünftig absichern sodass keine externen logins möglich sind ausser mit dem einen webspace_order user der ja die bestellungen in die ispcp tabellen schreiben muss?

sicherheit ist mir enorm wichtig....

MENKI
05-16-2009 11:49 PM
Find all posts by this user Quote this message in a reply
BeNe Offline
Moderator
*****
Moderators

Posts: 5,899
Joined: Jan 2007
Reputation: 68
Post: #8
RE: zugriff auf ispcp datenbank:
Quote:dadurch wird der login von aussen AUCH möglich?! wie soll ich das ganze jetzt vernünftig absichern sodass keine externen logins möglich sind ausser mit dem einen webspace_order user der ja die bestellungen in die ispcp tabellen schreiben muss?

sicherheit ist mir enorm wichtig....
Ja das ist leider noch so Shy
Aber solang der MySQL nur auf localhost hört passiert hier nicht viel.
In deinem Fall solltest Du es raus nehmen.

Greez BeNe
05-17-2009 03:29 AM
Visit this user's website Find all posts by this user Quote this message in a reply
steckibo Offline
Newbie
*

Posts: 7
Joined: Apr 2009
Reputation: 0
Post: #9
RE: zugriff auf ispcp datenbank:
Das heist, dass Dein MYSQL Server jetzt auf jeder verfügbaren IP Adresse lauscht, was überhaupt keine Sinn macht

Wenn Du einen Bind-Address auf eine einzige IP-Adresse machst, die nach draussen lauscht, dann langt das vollkommen. Z.B. Deine Hauptdomain hat die IP 123.132.123.132 dann machst Du einfach einen Bind-Address auf genau diese IP.

Sicherer und sinnvoller wäre es aber ein internes Netzwerk für die Server einzurichten, was jedoch einen zusätzlichen Switch bedingen würde.
Dann würdest Du bei den Bind-Address dann die interne Adresse angeben z.B. 192.168.97.1. Die Connects auf Localhost klappen dann immer noch ohne Probleme.

Bei einer solchen Konfiguration bin ich mir aber nicht ganz sicher, ob es Problem mit der IP Tables Konfiguration von ISPCP geben könnte, da ich damit erst seit wenigen Tagen teste.
(This post was last modified: 05-17-2009 04:28 AM by steckibo.)
05-17-2009 04:25 AM
Find all posts by this user Quote this message in a reply
Knut Offline
Member
***

Posts: 736
Joined: Nov 2006
Reputation: 10
Post: #10
RE: zugriff auf ispcp datenbank:
Schau Dir mal folgenden Beitrag an: http://www.isp-control.net/forum/thread-...l#pid43860

Dadurch werden die Nutzer ohne den zusätzlichen %-Eintrag angelegt, sprich die Nutzer können sich nur von localhost verbinden.

Gruß Knut
05-17-2009 04:27 AM
Find all posts by this user Quote this message in a reply
Post Reply 


Forum Jump:


User(s) browsing this thread: 3 Guest(s)