Sécuriser les connexions aux serveurs de bases de données MySQL/MariaDB distants¶
Résumé
Si vous avez un ou plusieurs serveurs de bases de données MySQL/MariaDB distants enregistrés dans Plesk, nous vous recommandons de sécuriser les connexions entre eux et Plesk à l’aide d’un certificat SSL/TLS. Cela permet d’éviter qu’un tiers n’intercepte des informations confidentielles.
Dans cette section, vous découvrirez comment sécuriser les connexions entre les serveurs de bases de données MySQL/MariaDB à l’aide de certificats SSL/TLS.
Vue d’ensemble¶
Vous pouvez utiliser les instructions de cette section non seulement pour sécuriser les connexions entre les serveurs de bases de données MySQL, mais aussi pour les serveurs de type MariaDB ou Percona.
Si votre serveur Plesk utilise uniquement un ou plusieurs serveurs de bases de données locaux, alors vous n’avez pas besoin de sécuriser les connexions entre eux.
Vous pouvez sécuriser les connexions entre les serveurs de bases de données à l’aide d’un certificat SSL/TLS autosigné ou à l’aide d’un certificat SSL/TLS gratuit ou payant émis par une autorité de certification. Un certificat autosigné assure le chiffrement des connexions entre les serveurs de bases de données et Plesk. En général, ce type de certificat est suffisant. Toutefois, un certificat gratuit ou payant émis par une autorité de certification peut également être utilisé pour vérifier l’identité d’un serveur de bases de données, ce qui renforce la protection contre une attaque de type homme du milieu.
Sécuriser les connexions à un serveur de bases de données MySQL/MariaDB distant¶
Pour sécuriser les connexions aux serveurs de bases des données distants, vous devez procéder en deux étapes. D’abord, vous devez configurer chaque serveur de bases de données distant pour utiliser des connexions chiffrées. Ensuite, vous devez activer les connexions chiffrées aux serveurs de bases de données dans Plesk.
Pour configurer l’utilisation de connexions chiffrées aux serveurs de bases de données, suivez les instructions dans la documentation du fournisseur correspondant :
- Découvrez comment configurer MySQL pour utiliser des connexions chiffrées.
- Découvrez comment configurer MariaDB pour utiliser des connexions chiffrées.
- Découvrez comment configurer Percona pour utiliser des connexions chiffrées.
Lorsque vous suivez les instructions ci-dessus, assurez-vous d’ajouter la ligne facultative suivante au fichier my.cnf
:
require_secure_transport=ON
Cela oblige les serveurs de bases de données à utiliser des connexions chiffrées. Vous pouvez aussi mettre à jour les utilisateurs de données de données par utilisateur à l’aide de l’argument ALTER USER
, comme ceci :
alter user 'admin'@'localhost' require ssl;
Dans ce dernier cas, seules les connexions aux utilisateurs de bases de données mis à niveau seront chiffrées.
Une fois que vous avez configuré tous les serveurs de bases de données pour utiliser des connexions chiffrées, vous devez activer les connexions chiffrées aux bases de données dans Plesk. Vous pouvez aussi configurer Plesk pour vérifier l’identité des serveurs de bases de données avant la connexion. Cette étape est requise pour la protection contre les attaques de type homme du milieu.
Activer les connexions chiffrées aux serveurs de bases de données
Ajoutez les lignes suivantes au fichier pour activer les connexions chiffrées aux serveurs de bases de données :
[database] tls.enable = true;
(Facultatif) Ajoutez les lignes suivantes en-dessous de celles que vous venez d’insérer pour vérifier l’identité des serveurs de bases de données avant la connexion :
tls.verifyServerCert = true; tls.sslCA = <path to the .pem file containing the relevant X.509 certificate(s)>;
L’utilitaire
openssl
peut générer un ou plusieurs certificats X.509 (si un ou plusieurs serveurs de bases de données sont sécurisés avec des certificats autosignés) ou s’ils sont requis par l’autorité de certification correspondante (si un ou plusieurs serveurs de bases de données sont sécurisés par des certificats émis par une autorité de certification).Note
Lorsque Plesk est configuré pour vérifier l’identité des serveurs de bases de données avant la connexion, alors les noms d’hôtes des serveurs de bases de données doivent correspondre à ceux des certificats SSL/TLS avec lesquels ils sont sécurisés. Plesk refuse de se connecter au serveur de bases de données dont le nom d’hôte ne correspond pas au nom spécifié dans le certificat SSL/TLS avec lequel il est sécurisé.
Les connexions entre les serveurs de bases de données MySQL/MariaDB et Plesk sont désormais sécurisées et ne peuvent pas être interceptées.