Problema de Seguridad en VESTA CP y MYSQL

El uso de plataformas como VESTA como panel de control para hosting es una alternativa interesante a CPANEL, sobre todo por su facilidad de instalación. Tengo varias máquinas corriendo esta plataforma a modo experimental y hoy, tras darle un vistazo mas a fondo descubrí un pequeño fallo en su configuración por defecto.

VESTA permite manipular reglas de iptables (cortafuegos) desde un entorno web, sin embargo hay una regla por defecto que expone a MYSQL Server a conexiones externas, pese a que no tenga ninguna necesidad de ello.

¿Por que la configuración por defecto permite conexiones desde cualquier origen hacia el puerto 3306 TCP?

VESTA viene configurado para trabajar con APACHE2 o NGINX en la misma máquina que MYSQL por lo tanto no tiene mucho sentido en mi opinión permitir conexiones externas.

El resultado de esta configuración expone a MYSQL a tráfico molesto e innecesario.

Afortunadamente el problema es fácil de mitigar, pues VESTA trae por defecto en sus reglas IPTABLES el permitir conexiones en loop a 127.0.0.1 y la acción de filtrado entrante por defecto es DROP.

Por lo anterior para corregir este comportamiento basta con deshabilitar la regla asociada al puerto 3306 TCP.

Leave a Reply

avatar

This site uses Akismet to reduce spam. Learn how your comment data is processed.

  Subscribe  
Notify of