为什么会建议修改数据库默认端口?

幸运草
幸运草
幸运草
923
文章
3
评论
2020年5月26日23:26:11 评论 131

GxP读立团群里吐槽过,最近一直在忙着某系统升级的事情,扫漏洞,打补丁,其中有一条来自安全方面的建议就是需要将默认的端口号修改掉。

为什么会建议修改数据库默认端口?

中间有一段内容来自于csdn论坛,可能比较硬核,制药行业的同仁可以跳过,拉到最后,看一下我所理解的风险,也希望你能积极参与投票,或者将这篇文章让更多的IT专业人士所看到。

先来普及一下常见的数据库默认的端口号:

关系型数据库:

1.Oracle数据库默认端口号为,1521;

2.MySQL数据库默认端口号为,3306;

3.SQLServer数据库默认端口号为,1433;

NOSQL数据库:

1.MongoDB默认端口号为:27017;

2.Redis默认端口号为:6379;

3.memcached默认端口号为:11211;

https://bbs.csdn.net/topics/392509309

再来看看端口的作用:

关系型的数据库背后本质是一张表,表内有各种信息,为了查询这些信息,可以用对应的SQL语句,返回查询结果,但是这样的方式太原始,通常是通过提供一个数据所在主机的ip地址和端口来进行查询,用以解决上述的原始查询方式的两个弊端:只能本地访问;2.无法多线程访问
https://blog.csdn.net/youyaecho/article/details/51771037

既然不同的数据库都有默认端口,那么意味着如果主机的IP被泄露(或者这玩意本来就不是什么秘密,很容易查到),端口又采用的是默认端口,那么就有可能被某种黑客的方式,造成大量的数据查询访问,占用资源,所以,修改默认端口为某一个自定义的端口,某种程度上可以降低这里面的风险。

同样引用自上面的一条博客:

使用了ip地址和端口后,任何只要和本主机联网的机器都可以访问数据库。这样数据库就成了一个单独的服务器了,一个前台线程负责监听,一个后台线程负责处理实际的SQL语句。另外为了安全,我们还可以要求用户提供一个用户名和密码。这样,应用程序访问数据库的方式就高级了很多。
https://blog.csdn.net/youyaecho/article/details/51771037

关于数据库监听程序:

要和数据库服务器通讯,必须要和服务器连接,建立连接时,服务器要知道有客服端连接进来了,而监听器就是干这个活的,监听程序就是在服务端等客户端连接的程序。对于专用连接来说,它负责建立一个与客户端对应的服务器进程来为其服务。
https://blog.csdn.net/youyaecho/article/details/51771037

上面的数据库方面的硬核内容如果你选择性跳过,建议下面的内容能给你带来一些思考:

制药行业强调的不是零风险

而是将风险控制在一个可接受的水平

  1. 制药行业某些软件供应商所采用的技术有可能并不是最新的,技术也在不断迭代与更新。

    比如某系统,官方的声明里只提到数据库支持到Oracle数据库的低版本,并没有任何测试数据证明支持数据库高版本,那么对于用户而言,是升级到高版本风险高,还是继续使用Oracle已经不支持的低版本风险高?这里对风险的认知,决定了你在第一个问题中会做出怎样的决策,决策没有对错之分,做决策的人需要对最终的决策负责。

    第二个问题,就不多说了,全面测试相关的话题2016年4月就首发过,大家可以投票后点击这里的链接,回顾一下。

  2. 在低版本的数据库有已知漏洞的情况下,假定漏洞无法被修复,那么采用修改数据库访问端口的方法,能不能认为是一种控制风险的手段,在这种情况下,如果将这个理由书面记录下来,现在的监管机构能不能接受,或者用户自己能不能接受?第三第四个问题,期待你的观点。
  3. 扫漏洞,或者打补丁,是一个系统性的工作,在数据库低版本n年以前已经不支持的情况下,应该有意识及早进行系统的升级,同时漏洞扫描和补丁更新也应该是一个定期的活动,而不是几年无动于衷,几周内风风火火要求一定要完成;
  4. 漏洞扫描的方法和标准经不经得起考验?提供漏洞扫描服务的供应商要不要去做审计,查资质,采用的漏洞扫描软件要不要验证或者确认?如果扫描的结果前后不一致,扫描报告中给出的结论模棱两可,那么别怪别人怼你,打铁还需自身硬。
  5. 每一件事情,在做最终的决定之前,会有一系列的小的决策,通过决策树的方式,是可以预见结果的,通过可视化的决策树,帮助老板做决定,是一个好的SME最重要的修养,也是SME的价值,希望只负责挖坑的队友少一些~
  6. 所有的决定,背后都是有逻辑的,我喜欢和逻辑清楚的人打交道,你可以说我错,但我有表达自己观点的权力,也希望你能尊重我说话的权力
转载请注明:{{title}}-变化吧
  • 赞助本站
  • 微信扫一扫
  • weinxin
  • 赞助本站
  • 支付宝扫一扫
  • weinxin
幸运草
运维人员防止误操作的 5 个宝贵经验 运维

运维人员防止误操作的 5 个宝贵经验

运维必看:日志标准化必须面对的 4 类问题 近些年有些企业领导认为IT就是花钱的部门,每年增长运维任务且压缩成本,造成人员紧张,工作强度压力大,薪酬少且多年不涨,这就使运维人员的工作积极性越来越低,作...
运维不仅仅是Linux居然还要懂这这些 运维

运维不仅仅是Linux居然还要懂这这些

运维不仅仅是懂Linux就行,因为还有一大部分的Windows运维,向windows运维人员致敬。当然我们这篇文章不是说运维除了懂Linux,还要懂Windows,而是涉及运维的其他方方面面。 如:环...
运维DBA的4大纪律9项注意 运维

运维DBA的4大纪律9项注意

企业级Docker镜像仓库的管理和运维朋友们调侃说,运维是个把脑袋别在裤腰带上的活,更有人说,运维是个把脑袋别在他人裤腰带上的活,苦劳没人认,有锅就有得背! 测试的同学说,“吃瓜群众很难感知运维背后的...
运维心法 | 6大技能让你告别背「锅」 运维

运维心法 | 6大技能让你告别背「锅」

运维监控做成这样,就达到 BATJ 的水准了一、 导语 我们知道监控系统的目标是:为保障业务 SLA,帮忙我们更全面、细致的了解业务系统的运行状态,更及时的发现系统风险,同时给技术运营的同学争取更多化...