Problema de Seguridad en VESTA CP y MYSQL

El uso de plataformas como VESTA como panel de control para hosting es una alternativa interesante a CPANEL, sobre todo por su facilidad de instalación. Tengo varias máquinas corriendo esta plataforma a modo experimental y hoy, tras darle un vistazo mas a fondo descubrí un pequeño fallo en su configuración por defecto.

VESTA permite manipular reglas de iptables (cortafuegos) desde un entorno web, sin embargo hay una regla por defecto que expone a MYSQL Server a conexiones externas, pese a que no tenga ninguna necesidad de ello.

¿Por que la configuración por defecto permite conexiones desde cualquier origen hacia el puerto 3306 TCP?

VESTA viene configurado para trabajar con APACHE2 o NGINX en la misma máquina que MYSQL por lo tanto no tiene mucho sentido en mi opinión permitir conexiones externas.

El resultado de esta configuración expone a MYSQL a tráfico molesto e innecesario.

Afortunadamente el problema es fácil de mitigar, pues VESTA trae por defecto en sus reglas IPTABLES el permitir conexiones en loop a 127.0.0.1 y la acción de filtrado entrante por defecto es DROP.

Por lo anterior para corregir este comportamiento basta con deshabilitar la regla asociada al puerto 3306 TCP.

Agregar un comentario

Su dirección de correo no se hará público. Los campos requeridos están marcados *

This site uses Akismet to reduce spam. Learn how your comment data is processed.