如果我的
MySQL服务器只接受来自localhost的连接,没有密码的root用户是否构成安全漏洞?
我知道普通的智慧说root用户应该受密码保护,但是把它留空是什么意思呢?我不关心Linux用户,除了我自己连接到MysqL,我不打算允许网络访问数据库.
编辑:是什么让MysqL与sqlite不同,它不受密码保护?我们在谈论什么样的部署方案?如果攻击者获得对服务器的访问权限,那么是什么阻止攻击者只是重置密码?
请记住,我不是想在这里提倡任何事情,我只是希望人们对此事有所了解.
@H_301_8@解决方法
是的,我认为这是一个相当基本的安全漏洞.让我通过一个故事来说明这一点.
很久很久以前,在我年轻且知识渊博的日子里,我设置了一台服务器,用于内部测试我正在测试的各种零碎件.它坐在我的桌子上,没有连接到任何网络(这是很久以前,所有必须在网络上才能做任何事情).当我不在办公室时,其他人需要一台机器,并拿走了我的测试机器(我不介意;我在使用机器的基础上,如果有必要可以用于其他事情).由于它已经运行了所需的操作系统,因此只需将其插入网络,然后安装所需的操作系统即可.
问题是,我在那个盒子上设置了各种各样的测试帐户,容易猜到密码(比如一个非常有用的测试).即使是很久以前,也不乏缺少什么比密码猜测帐户更好的歹徒.他们花了很长时间才找到这台机器,猜测密码,并且用它们做出了邪恶的方式.
这个故事的主旨?要求变更.即使您现在不希望这样做,也有可能在机器的整个生命周期中它的角色都会发生变化 – 我预计最可能的结果是其他用户可以访问机器(合法地,或通过应用程序级漏洞利用).你必须记得在必要时设置MysqL root密码的机会是……很渺茫.
我的建议是花10秒钟设置MysqL root密码并将其放入~root / .my.cnf.一次性时间成本远远低于妥协成本与妥协概率之间的成本.
@H_301_8@ @H_301_8@ 原文链接:https://www.f2er.com/linux/398533.html