Connexion Mysql à distance

Support Debian
,
Tags: #<Tag:0x00007f63d387e9c8> #<Tag:0x00007f63d387e6a8>
#1

Bonjour à tous,
Je cherche à me connecter en reseau local sur un serveur Mysql distant a fin de pouvoir monter le modéle de la base avec sqlyog et dbdesigner

La configuration utiliser:
Distrib: Debian Lenny
Serveur web : xampp

L’erreur reçus en me connectant:

/opt/lampp/bin/mysql -root -p -h 192.168.30.2
ERROR 2003 (HY000): Can't connect to MySQL server on '192.168.30.2' (111)

Les modifications realisées:
1- Un modification sur le my.cnf

# Instead of skip-networking the default is now to listen only on
# localhost which is more compatible and is not less secure.
bind-address            = 192.168.30.2

2- Une modification sur le root dans les tables mysql

Utilisateur / Serveur  /  Mot de passe /  Privilèges globaux 1   /  "Grant" 
root            %          Oui             ALL PRIVILEGES             Oui  
root       192.168.30.2    Oui             ALL PRIVILEGES             Oui  
root         linux         Oui             ALL PRIVILEGES             Oui  
root       localhost       Oui             ALL PRIVILEGES             Oui

Je continue a avoir la méme erreur en essayant de me connécter a distance méme aprés les modifications…
pas d’ipatbles utilisés…
Mysql tourne bien et marche quand méme en localhost

Faut il faire d’autre modifications en plus de la base et du my.cnf?

#2

Est ce que le port 3306 est ouvert (à vérifier avec nmap par ex) ?
Est ce que tu as autorisé les connections distantes dans la table mysql qui t’intéresse ?

#3 
serveur:~# nmap 192.168.30.2

Starting Nmap 4.62 ( http://nmap.org ) at 2010-11-09 15:54 CET
Interesting ports on 192.168.30.2:
Not shown: 1704 closed ports
PORT      STATE SERVICE
21/tcp    open  ftp
22/tcp    open  ssh
25/tcp    open  smtp
53/tcp    open  domain
80/tcp    open  http
111/tcp   open  rpcbind
139/tcp   open  netbios-ssn
143/tcp   open  imap
443/tcp   open  https
445/tcp   open  microsoft-ds
50000/tcp open  iiimsf

mes iptables sont vides…

serveur:~# iptables -L
Chain INPUT (policy ACCEPT)
target     prot opt source               destination

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

Merci piratebab effectivement je ne vois pas le port 3306 dans le nmap.
Portant je me connecte en localhost sans probléme.
le contenu de mon my.cnf est(il contient bien le 3306):

# Example MySQL config file for medium systems.
#
# This is for a system with little memory (32M - 64M) where MySQL plays
# an important part, or systems up to 128M where MySQL is used together with
# other programs (such as a web server)
#
# You can copy this file to
# /etc/my.cnf to set global options,
# mysql-data-dir/my.cnf to set server-specific options (in this
# installation this directory is /opt/lampp/var/mysql) or
# ~/.my.cnf to set user-specific options.
#
# In this file, you can use all long options that a program supports.
# If you want to know which options a program supports, run the program
# with the "--help" option.

# The following options will be passed to all MySQL clients
[client]
#password	= your_password
port		= 3306
socket		= /opt/lampp/var/mysql/mysql.sock

# Here follows entries for some specific programs

# The MySQL server
[mysqld]
port		= 3306
socket		= /opt/lampp/var/mysql/mysql.sock
skip-locking
key_buffer = 16M
max_allowed_packet = 1M
table_cache = 64
sort_buffer_size = 512K
net_buffer_length = 8K
read_buffer_size = 256K
read_rnd_buffer_size = 512K
myisam_sort_buffer_size = 8M

# Where do all the plugins live
plugin_dir = /opt/lampp/lib/mysql/plugin/

# Don't listen on a TCP/IP port at all. This can be a security enhancement,
# if all processes that need to connect to mysqld run on the same host.
# All interaction with mysqld must be made via Unix sockets or named pipes.
# Note that using this option without enabling named pipes on Windows
# (via the "enable-named-pipe" option) will render mysqld useless!
# 
# commented in by lampp security
#skip-networking
skip-networking

# Replication Master Server (default)
# binary logging is required for replication
# log-bin deactivated by default since XAMPP 1.4.11
#log-bin=mysql-bin

# required unique id between 1 and 2^32 - 1
# defaults to 1 if master-host is not set
# but will not function as a master if omitted
server-id	= 1

# Replication Slave (comment out master section to use this)
#
# To configure this host as a replication slave, you can choose between
# two methods :
#
# 1) Use the CHANGE MASTER TO command (fully described in our manual) -
#    the syntax is:
#
#    CHANGE MASTER TO MASTER_HOST=<host>, MASTER_PORT=<port>,
#    MASTER_USER=<user>, MASTER_PASSWORD=<password> ;
#
#    where you replace <host>, <user>, <password> by quoted strings and
#    <port> by the master's port number (3306 by default).
#
#    Example:
#
#    CHANGE MASTER TO MASTER_HOST='125.564.12.1', MASTER_PORT=3306,
#    MASTER_USER='joe', MASTER_PASSWORD='secret';
#
# OR
#
# 2) Set the variables below. However, in case you choose this method, then
#    start replication for the first time (even unsuccessfully, for example
#    if you mistyped the password in master-password and the slave fails to
#    connect), the slave will create a master.info file, and any later
#    change in this file to the variables' values below will be ignored and
#    overridden by the content of the master.info file, unless you shutdown
#    the slave server, delete master.info and restart the slaver server.
#    For that reason, you may want to leave the lines below untouched
#    (commented) and instead use CHANGE MASTER TO (see above)
#
# required unique id between 2 and 2^32 - 1
# (and different from the master)
# defaults to 2 if master-host is set
# but will not function as a slave if omitted
#server-id       = 2
#
# The replication master for this slave - required
#master-host     =   <hostname>
#
# The username the slave will use for authentication when connecting
# to the master - required
#master-user     =   <username>
#
# The password the slave will authenticate with when connecting to
# the master - required
#master-password =   <password>
#
# The port the master is listening on.
# optional - defaults to 3306
#master-port     =  <port>
#
# binary logging - not required for slaves, but recommended
#log-bin=mysql-bin


# Point the following paths to different dedicated disks
#tmpdir		= /tmp/		
#log-update 	= /path-to-dedicated-directory/hostname

# Uncomment the following if you are using BDB tables
#bdb_cache_size = 4M
#bdb_max_lock = 10000

# Comment the following if you are using InnoDB tables
#skip-innodb
innodb_data_home_dir = /opt/lampp/var/mysql/
innodb_data_file_path = ibdata1:10M:autoextend
innodb_log_group_home_dir = /opt/lampp/var/mysql/
# You can set .._buffer_pool_size up to 50 - 80 %
# of RAM but beware of setting memory usage too high
innodb_buffer_pool_size = 16M
innodb_additional_mem_pool_size = 2M
# Set .._log_file_size to 25 % of buffer pool size
innodb_log_file_size = 5M
innodb_log_buffer_size = 8M
innodb_flush_log_at_trx_commit = 1
innodb_lock_wait_timeout = 50

[mysqldump]
quick
max_allowed_packet = 16M

[mysql]
no-auto-rehash
# Remove the next comment character if you are not familiar with SQL
#safe-updates

[isamchk]
key_buffer = 20M
sort_buffer_size = 20M
read_buffer = 2M
write_buffer = 2M

[myisamchk]
key_buffer = 20M
sort_buffer_size = 20M
read_buffer = 2M
write_buffer = 2M

[mysqlhotcopy]
interactive-timeout

MA table quand a elle contient bien en privilèges l’utilisateur root que je lance:

root 	% 	        global 	ALL PRIVILEGES 	Oui 	Changer les privilèges spécifique à cette base de données 	ALL PRIVILEGES 	Oui 	Changer les privilèges
root 	192.168.30.2 	global 	ALL PRIVILEGES 	Oui 	Changer les privilèges spécifique à cette base de données 	ALL PRIVILEGES 	Oui 	Changer les privilèges
root 	linux 	        global 	ALL PRIVILEGES 	Oui 	Changer les privilèges
root 	localhost 	global 	ALL PRIVILEGES 	Oui 	Changer les privilèges

est ce que c’est le routeur ou il faut ouvrir le port 3306? pourtant je me connecte en réseau local!!

#4

A moins que je n’aie pas les yeux en face des trous, la modification de my.cnf mentionnée dans le premier message n’apparaît pas dans le contenu du fichier.
Pour afficher les ports locaux TCP en écoute : netstat -tnl

#5

tu as bien les yeux en face des trous :023 c’est juste qu’entre temps je l’ai viré car ca ne marchait ni avec ni sans :dance: … mais le probléme ne viens pas de la…

en relisant les postes je me suis rendu compte qu’il y avait une variable skip-networking qui etait decommenté dans le my.cnf
je l’ai commenté, redemarré le mysql

j’ai sqlyog qui se connecte sans problème a la base mtn!!!
le 3306 on le vois passer dans le nmap aussi

par contre dbdesigner m’envoie l’erreur suivante.

la connection a la bd à echoué.
dbexpress error: invalid username/password

pourtant j’utilise les mêmes paramètres que sur sqlyog!!
est ce que ca peut venir de dbdesigner lui méme?

#6

Regarde dans les logs de mysql qui a essayé de se connecter avec echec

#7

Des logs mysql? je ne savais pas que ca existait :005
faut il rajouter des parametres dans le my.cnf pour les avoir?

sur quel dossier par défaut ou peut les retrouver?

#8

Tu les actives dans my.cnf, tu les retrouves dans /var/log/mysql/

#9

c’est dans cette ligne qu’il faut la decommenter pour les avoir?

# Replication Master Server (default)
# binary logging is required for replication
# log-bin deactivated by default since XAMPP 1.4.11
#log-bin=mysql-bin

que faut il rajouter comme lignes dans le my.cnf?

Merci encore pour le tuyaux :023

#10 
[...]
# Be aware that this log type is a performance killer.
# As of 5.1 you can enable the log at runtime!
general_log_file        = /var/log/mysql/mysql.log
#general_log             = 1
#
[...]

devrait suffire

#11

Merci pour l’info.

Je teste et je reviens aux nouvelles…

#12

Cet échange est très pratique, presque toutes les boulettes que je pourrais faire y sont répertoriées… je sais que le sujet est vieux mais il n’empêche que pas mal de gens doivent y accéder encore aujourd’hui depuis Google… il faut donc assurer le suivi.
Est-ce que ça a marché au final ?

je rajoute juste un lien pour que les gens qui sont en recherche comme moi aient tous les éléments :
technique.arscenic.org/lamp-linu … veur-mysql
cyberciti.biz/tips/how-do-i- … erver.html (intéressant car quelques astuces pour ne donner des accès qu’à ceux souhaités)
developer.mindtouch.com/en/kb/En … L_database

Et juste pour récapituler ce que j’ai cru comprendre :

  1. my.cnf / skip-networking doit être commenté
  2. my.cnf / définir le bind address bind-address = [IP d’accès au serveur]
  3. BDD/base mysql / l’utilisateur doit être accessible depuis % (localhost, et depuis n’importe quelle IP)
  4. le port 3306 doit être ouvert (vérif avec la commande nmap [ip] depuis l’ordinateur distant ou en local netstat -tnl)
  5. my.cnf / activer les logs MySQL si ce n’est déjà fait pour suivre les problèmes d’identification le cas échéant general_log_file = /var/log/mysql/mysql.log

A priori, la ligne skip-external-locking dans my.cnf / section [mysqld] / permet de faire sauter tous les verrous pour les connections externes ?

Comment fait-on pour définir qu’il n’y a que telle IP distante qui peut accéder ?

lectures complémentaires :

Je pense en faire un article par la suite sur un blog, si vous avez des infos complémentaires, n’hésitez pas !

#13

Petit rappel de prudence. Ouvrir son serveur MySQL à l’extérieur est risqué. Si je ne me trompe, la communication passe en clair. Un sniffer pourra facilement révéler le contenu des requêtes qui passent. Pourquoi pas établir un tunnel OpenVPN? La connexion avec le serveur sera alors cryptée. Ou bien utiliser un ssh port forwarding (le VPN du pauvre!).

Un serveur MySQL compromis et c’est tout un site qui tombe…

#14

As tu remarqué cette section dans ton fichier de conf, qui semblerait désactiver l’accès réseau …

# Don't listen on a TCP/IP port at all. This can be a security enhancement,
# if all processes that need to connect to mysqld run on the same host.
# All interaction with mysqld must be made via Unix sockets or named pipes.
# Note that using this option without enabling named pipes on Windows
# (via the "enable-named-pipe" option) will render mysqld useless!
#
# commented in by lampp security
#skip-networking
skip-networking
#15

Oui mais, en l’occurrence, l’OP souhaite justement accéder à son serveur depuis l’extérieur. Il faut juste prendre quelques précautions de sécurité. En passant, désactiver l’accès réseau d’un serveur MySQL avec la directive skip-networking n’est plus la méthode préconisée. On utilise maintenant plutôt un bind sur le localhost:

# Instead of skip-networking the default is now to listen only on
# localhost which is more compatible and is not less secure.
bind-address            = 127.0.0.1
#16

Donc, pour que l’OP ait accès à ce serveur MySQL depuis l’extérieur, il faut :

  1. Activer l’accès réseau dans mysql (Je faisais justement remarquer que celui ci est désactivé), en commentant la directive skip_networking ainsi que bind =

  2. Limiter l’accès root à mysql à l’adresse IP de l’OP avec une directive genre :

GRANT ALL PRIVILEGES ON *.* TO '<nom_de_OP>'@'<addr_ip_de_OP>' IDENTIFIED BY 'un_mot_de_passe' WITH GRANT OPTION;
  1. En limiter l’accès seulement aux connexions SSL (Ceci seulement pour les connexions extérieures, le SSL ajoutant une charge à la machine lors du chiffrement/déchiffrement) :

http://dev.mysql.com/doc/refman/5.0/fr/ssl-options.html
http://krierjon.developpez.com/mysql/securiser/index.php?page=page_9

  1. Limiter l’accès à l’adresse IP de l’OP au port MySQL avec une règle iptables.
#17

salut a tous

voila une semaine que je bas à essayer d’ouvrir le port 3306 sur MySQL de mon raspbian.

je ne c’est plus quoi faire

ci-dessous mon my.cnf

# The MariaDB/MySQL tools read configuration files in the following order:
# 1. "/etc/mysql/mariadb.cnf" (this file) to set global defaults,
# 2. "/etc/mysql/conf.d/*.cnf" to set global options.
# 3. "/etc/mysql/mariadb.conf.d/*.cnf" to set MariaDB-only options.
# 4. "~/.my.cnf" to set user-specific options.
#
# If the same option is defined multiple times, the last one will apply.
#
# One can use all long options that the program supports.
# Run program with --help to get a list of available options and with
# --print-defaults to see which it would actually understand and use.

#
# This group is read both both by the client and the server
# use it for options that affect everything
#
[client-server]
socket=/tmp/mysql-dbug.sock
port=3307

merci de votre aide