El server web y los serveres MySQL tienen una segunda interfaz en una networking sin acceso público a Internet.
¿Cómo puede restringirse un usuario de MySQL para conectarse sólo desde dentro de la networking privada ya través de esa segunda interfaz?
Para empezar, he desactivado bind-address
en my.cnf
bind-address = 0.0.0.0
¿Puede esto ser más restrictivo? ¿Pueden los usuarios de MYSQL estar restringidos para conectarse sólo desde la segunda interfaz?
Puedes restringir el acceso a MySQL por iptables, por ejemplo
# iptables -I INPUT -p tcp --dport 3306 -s 192.168.0.0/16 -j ACCEPT
También puede restringir el usuario mysql mismo
mysql> grant all privileges on test_db.* to test_user@'192.168.%' identified by '1234567';
Puede asignar bind-address al ip de su segunda interfaz. Por ejemplo:
bind-address = 192.168.220.1