GreenSQL: besserer Schutz für MySQL-Datenbanken

Worauf ist zu achten?

Der GreenSQL-Proxy hört auf Port 3305. Das bedeutet, dass sämtliche Anwendungen, die durch GreenSQL geprüft werden sollen, so konfiguriert werden müssen, dass sie keine lokalen Unix-Sockets verwenden und nicht über Port 3306, sondern über Port 3305 eine Verbindung zum lokalen Host herstellen.

Das greensql-console-Paket bietet eine Web-Schnittstelle, in der man nachsehen kann, welche Anfragen geblockt wurden. Außerdem lässt sich damit konfigurieren, was GreenSQL blocken und was es durchlassen soll. Der greensql-console-Tarball wird dazu dekomprimiert und in das Web-Verzeichnis integriert, und dann muss man config.php an den gewünschten GreenSQL-Benutzernamen, das Passwort und den Datenbanknamen anpassen.

Wer GreenSQL direkt von der Source installiert hat, sollte sicherstellen, dass die Software bei jedem Reboot automatisch startet. Je nach der verwendeten Linux-Distribution muss man dafür manchmal nur ein initscript aus dem greensql-fw-Quellbaum kopieren (zum Beispiel rpm/greensql-fw.redhat.init) oder einfach dem lokalen Boot-Script hinzufügen. Damit dürfte die Gefahr einer SQL-Injection gebannt sein.