Как заблокировать доступ к общедоступному порту (3306) в Linux, но разрешить с других узлов в локальной сети?
Si usa gpg (GnuPG )2.2.7 De acuerdo con la página del manual,
--passphrase-fd n
Read the passphrase from file descriptor n. Only the first line will be read from file descriptor n. If you use 0 for n, the passphrase will be read from STDIN. This can only be used if only one passphrase is supplied.
--passphrase-file file
Read the passphrase from file file. Only the first line will be read from file file. This can only be used if only one passphrase is supplied. Obviously, a passphrase stored in a file is of questionable security if other users can read this file. Don't use this option if you can avoid it.
--passphrase string
Use string as the passphrase. This can only be used if only one passphrase is supplied. Obviously, this is of very questionable security on a multi-user system. Don't use this option if you can avoid it.
añade --pinentry-mode loopbackpara que funcione
Note that since Version 2.0 this passphrase is only used if the option --batch has also been given. Since Version 2.1 the --pinentry-mode also needs to be set to loopback.
Por ejemplo:
gpg --batch --yes --passphrase="pw" --pinentry-mode loopback -o out -d in
Вы не говорите, какой у вас дистрибутив, но я полагаю, что все ваши правила хранятся в этом файле:
$ sudo cat /etc/ufw/user.rules
Вы должны иметь возможность переупорядочивать содержимое этого файла так, чтобы ваши частные CIDR с правилами ALLOW шли первыми, а правила DENY — последними в списке. Если вам удалось переставить вещи, команда sudo ufw statusпокажет ваши правила следующим образом:
3306 ALLOW 10.0.0.0/8
3306 ALLOW 10.0.0.0/24
3306 DENY Anywhere
3306 (v6) DENY Anywhere (v6)
Ссылки
Альтернативная (или дополнительная )тактика по сравнению с брандмауэром заключается в следовании золотому правилу отсутствия ненужных служб/конфигураций и, таким образом, отказе Mysql в общедоступном адресе.
Рекомендуемая стратегия здесь заключается в привязке/заставлении демона/службы Mysql прослушивать только частный IP-адрес.
Отредактируйте my.cnfи используйте:
bind-address=10.64.30.117
Поскольку вы упомянули об изменении IP-адресов, в качестве альтернативы вы можете использовать эту директиву с именем хоста, определенным в /etc/hosts, и изменить его перед (повторным )запуском Mysql. (или используйте частное DNS-имя из существующих)
Затем перезапустите демон Mysql, и устройство больше не будет прослушивать запросы с других IP-адресов.
PS В качестве бонуса, таким образом, вы также не будете беспокоиться об изменении общедоступного IP-адреса. Что касается изменения частных IP-адресов, то это необходимо решать либо путем принудительной настройки сети, либо с виртуальным IP-адресом, либо с изменением файлов конфигурации на лету.
PPS Этот принцип применим к другим службам, таким как Tomcat, за веб-сервером. Вы также можете привязывать службы к локальному хосту только тогда, когда клиент находится на той же машине / виртуальной машине
.Также для получения информации об изменении IP-адреса см. связанный вопрос. Метод действий при изменении IP-адреса у поставщика услуг Интернета?