Problema de Seguridad en VESTA CP y MYSQL

El uso de plataformas como VESTA como panel de control para hosting es una alternativa interesante a CPANEL, sobre todo por su facilidad de instalación. Tengo varias máquinas corriendo esta plataforma a modo experimental y hoy, tras darle un vistazo mas a fondo descubrí un pequeño fallo en su configuración por defecto.

VESTA permite manipular reglas de iptables (cortafuegos) desde un entorno web, sin embargo hay una regla por defecto que expone a MYSQL Server a conexiones externas, pese a que no tenga ninguna necesidad de ello.

¿Por que la configuración por defecto permite conexiones desde cualquier origen hacia el puerto 3306 TCP?

VESTA viene configurado para trabajar con APACHE2 o NGINX en la misma máquina que MYSQL por lo tanto no tiene mucho sentido en mi opinión permitir conexiones externas.

El resultado de esta configuración expone a MYSQL a tráfico molesto e innecesario.

Afortunadamente el problema es fácil de mitigar, pues VESTA trae por defecto en sus reglas IPTABLES el permitir conexiones en loop a 127.0.0.1 y la acción de filtrado entrante por defecto es DROP.

Por lo anterior para corregir este comportamiento basta con deshabilitar la regla asociada al puerto 3306 TCP.

Subscribe
Notify of
guest

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

0 Comments
Inline Feedbacks
View all comments
0
Would love your thoughts, please comment.x
()
x