چگونه دسترسی ریموت MySQL را امن کنیم؟ (آپدیت ۲۰۲۵)

به‌طور پیش‌فرض، MySQL برای حفظ امنیت دور خودش حصار کشیده و فقط به اتصالات محلی پاسخ می‌دهد. این تنظیمات اگرچه امن است، اما وقتی بخواهید دیتابیس و اپلیکیشن خود را روی سرورهای جداگانه اجرا کنید، مانع توسعه و مقیاس‌پذیری می‌شود. فعال‌سازی دسترسی از راه دور به MySQL انعطاف‌پذیری به شما می‌دهد، اما به همان نسبت، چالش امنیتی جدیدی هم ایجاد می‌کند.

در این آموزش از لیارا، یاد می‌گیرید چطور بدون به خطر انداختن امنیت، اتصال ریموت MySQL را فعال کنید، و حتی خواهید آموخت با هوش مصنوعی (AI) چگونه جلوی اشتباهات پیکربندی و ورودی‌های غیرمجاز را بگیرید تا دیتابیس شما مثل یک دژ محکم باقی بماند.

آنچه در این مقاله می‌خوانید:

• پیش نیازها
• مرحله اول: پیکربندی MySQL برای اتصال ریموت
• مرحله دوم: ساخت کاربر ریموت امن در MySQL
• مرحله سوم: تنظیم و امن سازی فایروال MySQL
• مرحله چهارم: تست اتصال ریموت MySQL
• مرحله پنجم: فعال سازی SSL/TLS برای MySQL
• خطاها و مشکلات رایج در اتصال ریموت
• ممیزی امنیتی با هوش مصنوعی
• بهترین روش های پیکربندی فایروال
• توصیه های ایمن سازی و هاردنینگ سرور
• چک لیست عیب یابی MySQL
• مثال های عملی در دنیای واقعی

پیش نیازها

قبل از اینکه به سراغ پیکربندی اتصال ریموت MySQL بروید، مطمئن شوید موارد زیر را آماده دارید. هر یک از این پیش‌نیازها هم برای عملکرد و هم برای امنیت سرور حیاتی هستند:

۱. یک سرور با MySQL 8.0 یا نسخه جدیدتر

مطمئن شوید که سرور شما از نسخه پشتیبانی شده MySQL استفاده می‌کند. برای بهترین عملکرد و استفاده از پچ‌های امنیتی و بهبود عملکرد، بهتر است آخرین نسخه پایدار را نصب کنید.

برای بررسی نصب MySQL، دستور زیر را اجرا کنید:

mysql --version

۲. دسترسی Root یا دسترسی Sudo به سرور

برای تغییر فایل‌های پیکربندی MySQL، مدیریت کاربران و اعمال تنظیمات فایروال، باید دسترسی مدیریتی داشته باشید. برای بررسی سطح دسترسی خود:

sudo whoami

۳. ابزارهای مدیریت فایروال

برای محدود کردن دسترسی به MySQL، پیکربندی درست فایروال لازم است. حداقل با یکی از ابزارهای زیر آشنا باشید:

• ufw برای سیستم‌های مبتنی بر Ubuntu
• iptables برای تنظیمات پیشرفته یا قدیمی

همچنین باید بدانید چگونه پورت 3306 را باز یا محدود کنید و تغییرات اعمال شده را بررسی کنید.

با آماده کردن این پیش‌نیازها، پایه‌ای محکم برای راه‌اندازی امن و قابل اعتماد اتصال ریموت MySQL ایجاد می‌کنید. رد کردن هر یک از این مراحل می‌تواند سرور شما را در معرض ریسک‌های امنیتی و مشکلات عملیاتی قرار دهد.

در لیارا فقط با یک کلیک و در چند ثانیه، دیتابیس MySQL تهیه کنید.
✅ شبکه خصوصی ✅ منابع اختصاصی ✅ مدیریت آسان
خرید هاست ابری MySQL

مرحله اول: پیکربندی MySQL برای اتصال ریموت

به‌صورت پیش‌فرض، MySQL فقط به آدرس 127.0.0.1 گوش می‌دهد و تنها اتصال‌های محلی را می‌پذیرد. برای فعال کردن اتصال ریموت، باید bind address را تغییر دهید.

اگر هنوز MySQL را نصب نکرده‌اید، نحوه نصب آن را در این مقاله بخوانید.

پس از آن فایل پیکربندی اصلی را با دستور زیر باز کنید:

sudo nano /etc/mysql/mysql.conf.d/mysqld.cnf

در این فایل، خط زیر را پیدا کنید:

bind-address = 127.0.0.1

حالت اول: اتصال فقط از طریق شبکه خصوصی

در سناریوهای Cloud یا شبکه‌های داخلی، بهترین کار این است که MySQL را به IP خصوصی سرور متصل کنید:

bind-address = 10.0.0.5

آدرس 10.0.0.5 را با IP خصوصی سرور خود (مثلاً آدرس VPC یا VNet) جایگزین کنید. با این کار، دیتابیس فقط از داخل شبکه خصوصی در دسترس خواهد بود و سطح حمله به‌شدت کاهش پیدا می‌کند.

حالت دوم: اتصال از تمام اینترفیس‌‎ها

در صورتی که مجبور هستید MySQL را روی همه اینترفیس‌ها در دسترس قرار دهید، می‌توانید از تنظیم زیر استفاده کنید:

bind-address = 0.0.0.0

این روش بدون فایروال دقیق و محدود کننده ریسک بالایی دارد و نباید سرسری با آن برخورد کرد.

ری استارت سرویس MySQL

بعد از اعمال تغییرات، سرویس MySQL را ری‌استارت کنید:

sudo systemctl restart mysql

نکته مهم: هیچ‌ وقت MySQL را بدون محدودیت فایروال به‌صورت عمومی در دسترس قرار ندهید. اگر سرور شما IP خصوصی دارد، همیشه اتصال به همان IP را به 0.0.0.0 ترجیح دهید.

بهینه سازی اختیاری در فایل mysqld.cnf

برای افزایش امنیت و کاهش ریسک‌ها، می‌توانید تنظیمات زیر را هم اضافه کنید:

# Reduce DNS overhead and spoofing risk
skip_name_resolve = ON
# Disable loading local files by default
local_infile = OFF

این تنظیمات شاید ضروری نباشند، اما در محیط‌های Production کمک می‌کنند MySQL رفتار قابل پیش‌بینی‌تر و امن‌تری داشته باشد.

آموزش بکاپ‌گیری از دیتابیس MySQL در سرور مجازی اوبونتو 24.04 را در مقاله زیر بخوانید.
بکاپ‌گیری از دیتابیس MySQL در سرور مجازی اوبونتو 

مرحله دوم: ساخت کاربر ریموت امن در MySQL

بعد از اینکه MySQL را برای اتصال ریموت آماده کردیدف نوبت به ساخت یک کاربر اختصاصی می‌رسد. استفاده از کاربر جداگانه و نه root هم از نظر امنیتی ضروری است و هم مدیریت دسترسی‌ها را ساده‌تر می‌کند.

ابتدا وارد شل MySQL شوید:

sudo mysql -u root -p

پس از آن یک کاربر می‌سازیم که فقط از یک IP مشخص اجازه اتصال داشته باشد:

CREATE USER 'appuser'@'203.0.113.10' IDENTIFIED BY 'StrongPassword!';

آدرس 203.0.113.10 را با IP واقعی سروری که قرار است به دیتابیس وصل شود جایگزین کنید. این کار باعث می‌شود حتی در صورت لو رفتن اطلاعات کاربری، اتصال از سایر آدرس‌ها امکان‌پذیر نباشد.

بجای دادن دسترسی کامل، فقط مجوزهایی را اعمال کنید که برنامه شما واقعا به آن‌ها نیاز دارد:

GRANT SELECT, INSERT, UPDATE, DELETE ON mydb.* TO 'appuser'@'203.0.113.10';
FLUSH PRIVILEGES;

این رویکرد همان چیزی است که در عمل جلوی بسیاری از آسیب پذیری‌ها را می‌گیرد:

حداقل دسترسی لازم، نه بیشتر

در MySQL نسخه ۸، پلاگین پیش‌فرض احراز هویت caching_sha2_password است که از نظر امنیتی انتخاب بهتری نسبت به گزینه‌های قدیمی‌تر محسوب می‌شود. تا زمانی که کلاینت شما مشکلی با آن ندارد، بهتر است همین حالت باقی بماند.

مرحله سوم: تنظیم و امن سازی فایروال MySQL

دسترسی به پورت MySQL باید فقط به IPهای مورد اعتماد محدود شودو باز گذاشتن پورت 3306 بدون محدودیت، یکی از رایج‌ترین اشتباهات امنیتی در سرورهای دیتابیس است.

تنها از IPهای مورد اعتماد اجازه دسترسی به پورت 3306 را بدهید:

sudo ufw allow from 203.0.113.10 to any port 3306

برای هر IP یک قانون جداگانه تعریف کنید:

sudo ufw allow from 203.0.113.11 to any port 3306
sudo ufw allow from 198.51.100.25 to any port 3306

از اجرای این دستور به‌صورت عمومی و بدون محدودسازی IP خودداری کنید:

sudo ufw allow 3306

نمونه زیر تنظیم با iptables را نشان می‌دهد:

sudo iptables -A INPUT -p tcp -s 203.0.113.10 --dport 3306 -j ACCEPT
sudo iptables -A INPUT -p tcp --dport 3306 -j DROP

مرحله چهارم: تست اتصال ریموت MySQL

در این مرحله از روی سیستم راه دور دستور زیر را اجرا کنید:

mysql -u appuser -h your_server_ip -p

در صورت موفق بودن اتصال، به‌صورت امن به نمونه MySQL روی سرور راه دور متصل خواهید شد.

در صورت برقرار نشدن اتصال، این موارد را بررسی کنید:

# Basic reachability
mysqladmin -h your_server_ip -u appuser -p ping

# Scan open ports (run from a trusted host you control)
nmap -Pn -p 3306 your_server_ip

# Verify listening sockets on the server
sudo ss -ltnp | grep 3306 || sudo netstat -ltnp | grep 3306

استفاده از تونل SSH در زمانی‌که دسترسی مستقیم به دیتابیس مجاز نیست.

ssh -L 3306:127.0.0.1:3306 user@your_server_ip -N
# Then connect locally
mysql -u appuser -h 127.0.0.1 -p

برای محیط‌های Production، استفاده از شبکه خصوصی یا VPN به‌جای در معرض قرار دادن مستقیم دیتابیس روی اینترنت عمومی ترجیح داده می‌شود.

اگر میخواهید بدانید چگونه یک پایگاه داده ریموت را برای بهینه‌سازی عملکرد سایت با MySQL روی سرور مجازی راه‌اندازی کنید، مقاله زیر را بخوانید.
نحوه راه اندازی پایگاه داده MySQL روی سرور مجازی اوبونتو 

مرحله پنجم: فعال سازی SSL/TLS برای MySQL

شاید بپرسید باید SSL/TLS را فعال کنیم؟ وقتی SSL/TLS فعال باشد، تمام اطلاعاتی که بین کلاینت MySQL و سرور ردوبدل می‌شود به‌صورت رمزنگاری شده منتقل خواهد شد. در غیر این صورت، داده‌های حساسی مانند نام کاربری و رمز عبور دیتابیس، کوئری‌ها و حتی خروجی آن‌ها می‌توانند در مسیر شبکه وارد شنود شوند.

این موضوع مخصوصا زمانی خطرناک می‌شود که اتصال ریموت از طریق اینترنت یا شبکه‌های غیرقابل اعتماد برقرار باشد، جایی که حملاتی مانند شنود اطلاعات یا Man-in-the-Middle کاملا محتمل هستند.

استفاده از SSL/TLS برای هر اتصال از راه دور به MySQL، حتی در شبکه‌های خصوصی، به شدت توصیه می‌شود تا از تهدیدات داخلی و احتمال افشای ناخواسته داده‌ها جلوگیری شود.
برخی ارائه‌دهندگان ابری و استانداردهای انطباق مانند PCI DSS، HIPAA و GDPR، اتصال رمزگذاری‌شده به پایگاه داده را الزامی می‌کنند.

نسخه‌های MySQL 5.7 و بالاتر، قابلیت require_secure_transport را دارند که می‌تواند SSL/TLS را برای همه اتصالات کلاینت اجباری کند.

برای استفاده داخلی می‌توان از گواهی‌های خودامضا بهره برد، اما در محیط‌های تولیدی بهتر است از گواهی‌هایی استفاده شود که توسط یک مرجع معتبر (CA) صادر شده‌اند.

پس از فعال‌سازی SSL/TLS همیشه اتصال را تست کنید، زیرا پیکربندی نادرست می‌تواند مانع دسترسی قانونی شود.

فعال کردن SSL/TLS جایگزین نیاز به احراز هویت قوی و قوانین فایروال نمی‌شود؛ بلکه مکمل آن‌هاست و داده‌ها را در حین انتقال محافظت می‌کند.

پیکربندی سرور در فایل mysqld.cnf:

require_secure_transport = ON
# If using custom certificates, set the paths (PEM files)
# ssl-ca   = /etc/mysql/certs/ca.pem
# ssl-cert = /etc/mysql/certs/server-cert.pem
# ssl-key  = /etc/mysql/certs/server-key.pem

پس از اعمال تغییرات، باید سرویس MySQL را مجددا راه‌اندازی کنید:

sudo systemctl restart mysql

استفاده از SSL را برای هر کاربر جداگانه اعمال کنید:

ALTER USER 'appuser'@'203.0.113.10' REQUIRE SSL;

استفاده از TLS را در اتصال کلاینت اجباری کنید:

mysql --ssl-mode=REQUIRED -u appuser -h your_server_ip -p

با دستور زیر موفقیت اتصال TLS را بررسی کنید:

mysql -u appuser -h your_server_ip -p -e "\s" | grep -i SSL

خطاها و مشکلات رایج در اتصال ریموت

زمان فعال‌سازی دسترسی ریموت به MySQL، تیم‌ها معمولا با مجموعه‌ای از چالش‌های فنی و عملیاتی روبه‌رو می‌شوند. در ادامه، رایج‌ترین مشکلاتی که در دنیای واقعی دیده می‌شوند، به همراه علت‌های آن‌ها و راهکارهای قابل اجرا بررسی کرده‌ایم:

مشکل / نشانه	راه‌حل پیشنهادی	دلیل فنی و تجربه‌ی واقعی
Access denied for user	بررسی کنید کاربر با هاست یا IP صحیح ساخته شده باشد (مثل user@'203.0.113.10' یا user@'%'). با دستور SELECT user, host FROM mysql.user; صحت آن را بررسی کنید. در صورت نیاز رمز عبور را بازنشانی کنید.	کلاینت خطای ERROR 1045 (28000): Access denied for user دریافت می‌کند، در حالی که اطلاعات ورود ظاهراً درست است. این مشکل معمولاً زمانی رخ می‌دهد که کاربر فقط برای localhost تعریف شده یا IP کلاینت متفاوت است، یا رمز عبور اشتباه وارد می‌شود.
عدم اتصال حتی پس از ساخت کاربر	وضعیت فایروال سیستم را بررسی کنید (sudo ufw status یا sudo firewall-cmd --list-all) و مطمئن شوید پورت 3306 فقط برای IPهای مجاز باز است. در محیط‌های ابری، تنظیمات Security Group را اصلاح کنید.	با وجود تنظیم صحیح کاربر، اتصال ریموت برقرار نمی‌شود. در اغلب موارد، فایروال سیستم‌عامل یا محدودیت‌های امنیتی ارائه‌دهنده‌ی ابری (AWS، GCP، Azure) مانع دسترسی به پورت 3306 شده‌اند.
ناسازگاری پلاگین احراز هویت	برای کلاینت‌های جدید از caching_sha2_password استفاده کنید. اگر با اپلیکیشن‌های قدیمی کار می‌کنید، کاربر را با mysql_native_password تنظیم کنید و در صورت امکان کتابخانه‌های کلاینت را به‌روزرسانی کنید.	نسخه‌های جدید MySQL به‌صورت پیش‌فرض از caching_sha2_password استفاده می‌کنند، اما بسیاری از کلاینت‌های قدیمی یا درایورهای زبان‌های برنامه‌نویسی از آن پشتیبانی نمی‌کنند و اتصال با خطا مواجه می‌شود.
کندی یا ناپایداری اتصال	از VPN یا SSH Port Forwarding برای ایجاد یک کانال امن و پایدار استفاده کنید. در محیط تولید، MySQL را نزدیک به سرورهای اپلیکیشن مستقر کنید یا از شبکه‌ی خصوصی بهره ببرید. کیفیت شبکه و تنظیمات TCP Keepalive را بررسی کنید.	اتصال‌های ریموت روی اینترنت عمومی معمولاً با تأخیر بالا، قطع شدن‌های مکرر یا Timeout همراه هستند؛ مخصوصاً در لینک‌های ناپایدار یا مسیرهای بین‌قاره‌ای.
مشکلات DNS	از به‌روز بودن رکوردهای DNS مطمئن شوید. در صورت امکان از IP ثابت استفاده کنید یا پس از تغییر IP، مجوزهای MySQL را اصلاح کنید. از سمت کلاینت با ping یا nslookup تست بگیرید.	نام دامنه‌ی پایگاه داده (مثل db.example.com) به IP اشتباه Resolve می‌شود یا اصلاً Resolve نمی‌شود؛ مشکلی رایج در محیط‌های ابری یا هیبریدی با DNS داینامیک.
پیکربندی اشتباه bind-address	در فایل mysqld.cnf مقدار bind-address را روی 0.0.0.0 یا یک IP خصوصی مشخص تنظیم کنید. سپس MySQL را ری‌استارت کرده و با `ss -tlnp	grep 3306` بررسی کنید.
خطاهای اتصال SSL/TLS	مسیر گواهی‌ها و سطح دسترسی فایل‌ها را بررسی کنید. با openssl s_client اتصال را تست کنید. در کلاینت از --ssl-mode=REQUIRED استفاده کرده و به CA اعتماد دهید. لاگ‌های MySQL را برای خطاهای دقیق بررسی کنید.	بعد از فعال‌سازی SSL/TLS، اتصال برقرار نمی‌شود یا به‌صورت ناامن انجام می‌شود. دلایل رایج شامل اشتباه در مسیر گواهی‌ها، مشکل Trust CA یا پیکربندی نادرست کلاینت است.
سطح دسترسی بیش‌ازحد کاربران	دسترسی‌ها را فقط به IP یا Subnet مشخص محدود کنید. به‌صورت دوره‌ای مجوزها را بررسی و حساب‌های بلااستفاده را حذف کنید. از ابزارهای هوشمند برای شناسایی دسترسی‌های خطرناک استفاده کنید.	استفاده از user@'%' عملاً دیتابیس را در معرض کل اینترنت قرار می‌دهد و ریسک حملات Brute Force و نقض الزامات امنیتی را بالا می‌برد.
فراموش کردن FLUSH PRIVILEGES	بعد از تغییر کاربران یا مجوزها، دستور FLUSH PRIVILEGES; را اجرا کنید تا تغییرات فوراً اعمال شوند.	تغییرات انجام شده روی کاربران یا مجوزها اعمال نمی‌شوند، چون MySQL هنوز اطلاعات قبلی را در حافظه نگه داشته است.

ممیزی امنیتی با هوش مصنوعی

در رویکردهای جدید دواپس، هوش مصنوعی نقش مهمی در امن‌سازی دسترسی ریموت به MySQL ایفا می‌کند. این ابزارها به‌صورت پیوسته تنظیمات را بررسی می‌کنند و قبل از تبدیل شدن یک خطای ساده به مشکل امنیتی، هشدار می‌دهند.

• بررسی سطح دسترسی‌ها (Permissions Check): شناسایی مجوزهای بیش‌ازحد باز مانند user@'%'.
• ممیزی فایروال (Firewall Audits): ارسال هشدار در صورتی که پورت 3306 به‌صورت عمومی روی اینترنت باز باشد.
• پایش لاگ‌ها (Log Monitoring): تشخیص تلاش‌های ورود غیرعادی یا حملات brute-force.
• یکپارچه‌سازی با CI/CD: جلوگیری از استقرار در صورت شناسایی تنظیمات ناامن مانند bind-address=0.0.0.0.

نمونه هشدار ممیزی تولید شده توسط هوش مصنوعی:

[ALERT] MySQL remote access misconfiguration detected.
  User: appuser@'%'
  Risk: Global access enabled
  Recommendation: Restrict to known IP addresses only.

بهترین روش های پیکربندی فایروال

در بیشتر نفوذهایی که در دیتابیس‌های MySQL اتفاق می‌افتد، مشکل از خود MySQL نیست، در واقع مشکل جایی شروع می‌شود که فایروال بدون محدودیت رها شده و پورت 3306 مستقیما به اینترنت وصل است. اسکنرها و بات‌ها دقیقا دنبال همین هستند و معمولا هم خیلی زود پیدایش می‌کنند.

اگر قرار است MySQL از راه دور در دسترس باشد، فایروال باید مثل یک نگهبان سخت‌گیر عمل کند نه یک در نیمه باز:

۱. اجازه دسترسی فقط به IPها یا Subnet های مشخص VPN

• اصل حداقل دسترسی (Least Privilege): فایروال را به‌گونه‌ای تنظیم کنید که فقط اتصال‌های ورودی MySQL روی پورت TCP 3306 را از IPهای مورد اعتماد یا subnetهای مشخص VPN بپذیرد. استفاده از 0.0.0.0/0 (دسترسی از همه‌جا) فقط در شرایط خاص تست قابل توجیه است و نباید در محیط عملیاتی استفاده شود.
  
• توصیه استفاده از VPN: برای افزایش امنیت، کاربران ریموت را ملزم کنید قبل از دسترسی به MySQL از طریق VPNهایی مانند WireGuard یا OpenVPN متصل شوند. این کار باعث می‌شود دیتابیس از دید اینترنت عمومی پنهان بماند و سطح دسترسی به شکل محسوسی محدود شود.

۲. غیرفعال کردن لاگین ریموت کاربر root در MySQL

اکثر حملات brute-force به MySQL از یک نقطه مشخص شروع می‌شوند: اکانت root. این کاربر به‌صورت پیش‌فرض شناخته‌ شده است و اگر دسترسی ریموت داشته باشد، عملا اولین گزینه‌ای است که اسکریپت‌های حمله سراغش می‌روند. با غیرفعال کردن لاگین ریموت root، حتی اگر پورت 3306 به هر دلیلی در دسترس باشد، سطح حمله به شکل محسوسی کاهش پیدا می‌کند.

ایده ساده است: root فقط باید روی خود سرور قابل استفاده باشد، نه از راه دور.

روش‌های پیاده‌سازی

اگر هنوز به رکوردهای root ریموت نیاز دارید ولی می‌خواهید فعلا دسترسی آن‌ها را متوقف کنید، می‌توانید اکانت مربوطه را قفل کنید:

ALTER USER 'root'@'%' ACCOUNT LOCK;

اما رویکرد امن‌تر این است که کلا تمام ورودی‌های root به‌جز localhost را حذف کنید.

DELETE FROM mysql.user WHERE User='root' AND Host!='localhost';
FLUSH PRIVILEGES;

در آخر دستور SELECT user, host FROM mysql.user WHERE user='root';
را اجرا کنید تا مطمئن شوید فقط حساب root@localhost فعال باقی مانده و هیچ دسترسی ریموتی برای کاربر root وجود ندارد.

۳. مانیتورینگ مداوم لاگ‌ها

مانیتورینگ پیوسته لاگ‌ها کمک می‌کند تلاش‌های دسترسی غیرمجاز، اسکن پورت‌ها یا حملات brute-force به‌صورت لحظه‌ای شناسایی شوند.

• MySQL Logs: لاگ‌های MySQL مانند /var/log/mysql/error.log یا system journal را برای شناسایی تلاش‌های ناموفق ورود و فعالیت‌های مشکوک بررسی کنید.
  
• Firewall Logs: لاگ‌های فایروال را فعال کرده و به‌طور منظم بررسی کنید (مثل /var/log/ufw.log یا لاگ‌های firewalld) تا تلاش‌های مکرر اتصال از IPهای ناشناس مشخص شود.
  
• Automated Alerts: ابزارهای مانیتورینگ لاگ مانند Fail2ban، OSSEC یا راهکارهای بومی فضای ابری را تنظیم کنید تا بعد از چند تلاش ناموفق، هشدار ارسال کنند یا IPها را به‌صورت خودکار مسدود کنند.

۴. خودکارسازی بررسی فایروال با اسکریپت‌های مبتنی بر هوش مصنوعی

بررسی دستی فایروال مستعد خطا است و ممکن است پیکربندی‌های ظریف و اشتباهات کوچک را از دست بدهد. ابزارهای مبتنی بر هوش مصنوعی می‌توانند به‌طور پیوسته قوانین فایروال را تحلیل کنند، ناهنجاری‌ها را شناسایی کرده و بهترین روش‌ها را پیشنهاد یا اعمال کنند.

• Open-Source Tools: ابزارهایی مانند CrowdSec یا Wazuh را برای تحلیل لاگ‌ها و قوانین فایروال به کار ببرید تا با استفاده از یادگیری ماشین، الگوهای مشکوک شناسایی شوند.
  
• Custom AI Scripts: از اسکریپت‌های پایتون همراه با کتابخانه‌هایی مثل nmap، iptables و فریم‌ورک‌های AI/ML (مانند scikit-learn) برای بررسی پورت‌های باز، مقایسه با وضعیت پایه و علامت‌گذاری تغییرات غیرمنتظره استفاده کنید.

مراحل بررسی فایروال:

۱. اسکریپت قوانین فایروال و پورت‌های باز را اسکن می‌کند.
۲. مدل هوش مصنوعی سطح ریسک را بر اساس IPها/subnetهای امن شناخته‌شده و الگوهای دسترسی تاریخی ارزیابی می‌کند.
۳. اگر قانونی پورت ۳۳۰۶ را در معرض عموم یا یک IP ناشناس قرار دهد، سیستم هشدار می‌دهد یا به‌صورت خودکار آن قانون را مسدود می‌کند.

توصیه های ایمن سازی و هاردنینگ سرور

برای تامین امنیت چندلایه موارد زیر را انجام دهید:

• همیشه MySQL را به آخرین نسخه پایدار جزئی به‌روزرسانی کنید
• حساب‌های ناشناس را غیرفعال کنید:

DELETE FROM mysql.user WHERE User = '';
FLUSH PRIVILEGES;

اجباری کردن استفاده از رمزهای قوی:

# mysqld.cnf
validate_password.length = 12
validate_password.check_user_name = ON

• دسترسی میزبان را در تعریف کاربران محدود کنید و از @'%' اجتناب کنید
• نسخه پشتیبان‌ها را به‌صورت دوره‌ای تست کنید و در حالت ذخیره‌سازی رمزگذاری کنید
• لاگ‌ها را بررسی کنید، به‌ویژه /var/log/mysql/error.log یا system journal، برای شناسایی شکست‌های ورود

چک لیست عیب یابی MySQL

Verify bind-address: با اجرای grep bind /etc/mysql/mysql.conf.d/mysqld.cnf مقدار bind-address را بررسی کنید.
Check firewall rules: با دستور sudo ufw status قوانین فایروال را بررسی کنید.
Check cloud firewalls: مطمئن شوید security groupها یا فایروال‌های پلتفرم اجازه اتصال به IP کلاینت شما را می‌دهند.
Inspect MySQL grants: دسترسی‌های MySQL را بررسی کنید:

SHOW GRANTS FOR 'appuser'@'203.0.113.10';

با Telnet تست کنید:

telnet your_server_ip 3306

بررسی TLS: با اجرای دستور

mysql -e "\s" | grep -i SSL

باید در صورت فعال بودن، یک رمزنگاری (cipher) فعال نمایش داده شود.

مثال های عملی در دنیای واقعی

در ادامه با لیارا، چند مثال از پیاده‌سازی امن بودن دسترسی ریموت MySQL را با هم بررسی می‌کنیم، همراه ما باشید.

مثال ۱- اتصال با Python (mysql-connector)

import mysql.connector

conn = mysql.connector.connect(
    host="203.0.113.10",
    user="appuser",
    password="StrongPassword!",
    database="mydb"
)

cursor = conn.cursor()
cursor.execute("SELECT NOW();")
print(cursor.fetchone())

مثال ۲- اتصال با PHP (PDO)

<?php
$host = '203.0.113.10';
$db   = 'mydb';
$user = 'appuser';
$pass = 'StrongPassword!';
$charset = 'utf8mb4';

$dsn = "mysql:host=$host;dbname=$db;charset=$charset";

try {
    $pdo = new PDO($dsn, $user, $pass);
    $pdo->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);
    echo "Connected successfully!";
} catch (PDOException $e) {
    echo "Connection failed: " . $e->getMessage();
}
?>

مثال ۳- فایل wp-config.php در وردپرس

در وردپرس، جزئیات دیتابیس ریموت خود را تنظیم کنید:

define( 'DB_NAME', 'mydb' );
define( 'DB_USER', 'appuser' );
define( 'DB_PASSWORD', 'StrongPassword!' );
define( 'DB_HOST', '203.0.113.10:3306' );

وردپرس را ری‌استارت کنید تا از سرور MySQL ریموت استفاده کند.

سوالات متداول

برای دسترسی ریموت MySQL چه پورتی استفاده کنم و چطور امن باشد؟

MySQL به‌طور پیش‌فرض از پورت ۳۳۰۶/TCP استفاده می‌کند. هرگز این پورت را برای همه باز نگذارید و فقط به IPهای معتبر دسترسی بدهید. قوانین فایروال را مرتب بررسی کنید و برای مانیتورینگ می‌توانید از ابزارهای هوش مصنوعی کمک بگیرید.

آیا امن است bind-address را روی 0.0.0.0 قرار دهم؟

فقط اگر قوانین فایروال محدود به IPهای معتبر باشد. بهتر است MySQL روی IP خصوصی یا localhost باشد و اتصال‌ها را با مانیتورینگ مداوم بررسی کنید.

هوش مصنوعی چطور ورودهای غیرمجاز را شناسایی می‌کند؟

ابزارهای هوشمند لاگ‌ها را بررسی می‌کنند و تلاش‌های مشکوک مثل brute-force یا دسترسی از IP ناشناس را هشدار می‌دهند تا سریع واکنش نشان دهید.

سوال: چطور دسترسی ریموت root را غیرفعال کنم؟

با دستور

ALTER USER 'root'@'%' ACCOUNT LOCK;

دسترسی ریموت root بسته می‌شود. همیشه از کاربر با حداقل دسترسی برای ریموت استفاده کنید.

بهترین روش‌های امن کردن دسترسی ریموت MySQL چیست؟

دسترسی‌ها را محدود به IPها کنید، VPN استفاده کنید، SSL/TLS فعال کنید، مانیتورینگ هوشمند داشته باشید و قوانین فایروال و رمزها را مرتب بررسی کنید.

MySQL در مقایسه با دیگر دیتابیس‌ها برای ریموت چگونه است؟

MySQL ترکیبی از امنیت، سادگی و پشتیبانی گسترده است و گزینه‌ای مناسب برای دسترسی ریموت محسوب می‌شود.

چطور SSL برای اتصال ریموت فعال کنم؟

در فایل تنظیمات MySQL require_secure_transport=ON را قرار دهید و هنگام اتصال از --ssl-mode=REQUIRED استفاده کنید.

مشتری نمی‌تواند به دلیل caching_sha2_password وصل شود، چه کنم؟

بهترین راه ارتقای کلاینت است. اگر امکان ندارد، می‌توانید روش احراز هویت کاربر را به mysql_native_password تغییر دهید.

چگونه مطمئن شوم MySQL روی رابط درست گوش می‌دهد؟

دستور زیر را اجرا کنید:

sudo ss -ltnp | grep 3306

مطمئن شوید فقط روی IP خصوصی یا localhost فعال است.

جمع بندی

در این آموزش دیدید که چگونه با پیکربندی صحیح MySQL، محدود کردن دسترسی‌ها، مدیریت کاربران با حداقل دسترسی و استفاده از SSL/TLS و ابزارهای مانیتورینگ هوشمند، می‌توان دسترسی ریموت را امن کرد و خطرات امنیتی را به حداقل رساند.