我们的网站即将上线,我正在考虑安全问题。 我们有一个典型的nginx,apache和mysql的布局。 理想情况下,唯一暴露在networking上的机器是nginx服务器,但是在开发过程中,我们一直使用在开发机器上本地安装的phpmyadmin,然后使用Putty通过SSH隧道连接到后端mysql机器。 这意味着myslq机器至less要在端口22上暴露在networking中。
所以问题是,限制IP访问MySQL的Linux实例到Web服务器,并在其中一个Web服务器上安装phpmyadmin更好。 我听说phpmyadmin是不安全的,所以最好不要在生产机器上运行,因此开发环境安装在开发机器上。
我想如果我们继续在本地运行并使用Putty,那么我们只需要将22端口暴露给networking。 这是一个较小的风险?
将phpMyAdmin隐藏在cPanel的本地到它正在pipe理的服务器上。 每当我转身,phpMyAdmin总是需要更新来修补另一个漏洞。 它不应该作为一个面向互联网的应用程序运行。 cPanelpipe理其安全性,以减轻胃灼热。
我希望保持22端口IP只限于已知的办公室IP,并需要复杂的密钥authentication,然后在您的networking服务器上安装phpmyadmin。