Información general

Puede seguir las indicaciones detalladas en este tema para proteger las conexiones a servidores de base de datos MySQL, así como a derivados de MySQL, como por ejemplo MariaDB o Percona.

Si su Plesk solo usa servidores de base de datos locales, no es necesario proteger las conexiones a los mismos.

Puede proteger las conexiones a servidores de base de datos usando un certificado SSL/TLS autofirmado o bien un certificado de pago o gratuito emitido por una autoridad de certificación. El uso de un certificado autofirmado garantiza que las conexiones entre Plesk y los servidores de base de datos están cifradas y debería bastar en la mayoría de los casos. De todos modos, también puede usarse un certificado emitido por una autoridad de certificación, ya sea gratuito o de pago, para verificar la identidad de un servidor de base de datos, lo que ayuda a protegerse frente a posibles ataques de man-in-the-middle.

Protección de conexiones a servidores de base de datos MySQL/MariaDB remotas

El proceso de protección de conexiones a servidores de base de datos remotos se compone de dos pasos. En primer lugar debe configurar cada uno de los servidores de base de datos para que usen conexiones cifradas. A continuación debe activar las conexiones cifradas a los servidores de base de datos en Plesk.

Para configurar que los servidores de base de datos usen conexiones cifradas, lleve a cabo los pasos detallados en la documentación del proveedor correspondiente:

• Descubra cómo configurar MySQL para que use conexiones cifradas.
• Descubra cómo configurar MariaDB para que use conexiones cifradas.
• Descubra cómo configurar Percona para que use conexiones cifradas.

Cuando realice los pasos detallados anteriormente, cerciórese de que añade la siguiente línea opcional al archivo my.cnf:

require_secure_transport=ON

De esta forma se fuerza a los servidores de base de datos a usar conexiones cifradas. Como alternativa, puede actualizar los usuarios de la base de datos uno a uno mediante el argumento ALTER USER de la siguiente forma:

alter user 'admin'@'localhost' require ssl;

En el último caso, solo se cifrarán las conexiones para los usuarios de la base de datos actualizados.

Una vez configurados todos los servidores de base de datos para que usen conexiones cifradas, debe activar las conexiones cifradas a los servidores de base de datos en Plesk. Además, también puede configurar Plesk para que verifique las identidades de los servidores de base de datos antes de efectuar la conexión. Esto es imprescindible para protegerse frente a posibles ataques de man-in-the-middle.

Activación del cifrado de conexiones a servidores de base de datos

1. Abra el archivo «panel.ini» para proceder con su edición.

2. Añada las siguientes líneas al archivo para así activar el cifrado de conexiones a los servidores de base de datos:

   [database]
   tls.enable = true;
   

3. (Opcional) Añada las siguientes líneas bajo las que acaba de añadir para verificar las identidades de los servidores de base de datos antes de proceder con la conexión:

   tls.verifyServerCert = true;
   tls.sslCA = <path to the .pem file containing the relevant X.509 certificate(s)>;
   

   Los certificados X.509 pueden generarse mediante la utilidad openssl (en el caso de que uno o más servidores de base de datos estén protegidos con certificados autofirmados) o bien pueden solicitarse a la autoridad de certificación correspondiente (si uno o más servidores de base de datos están protegidos con certificados emitidos por una autoridad de certificación).

   Nota: Cuando se configura Plesk para verificar las identidades de los servidores de base de datos antes de proceder con la conexión, los nombres de host de los servidores de base de datos deben coincidir con los especificados en los certificados SSL/TLS que les protegen. Plesk rechazará efectuar conexiones a un servidor de base de datos cuyo nombre de host no coincida con el nombre indicado en el certificado SSL/TLS usado para protegerlo.

Ahora, las conexiones entre servidores de base de datos MySQL/MariaDB y Plesk son seguras y no pueden ser interceptadas por terceros.