国产探花免费观看_亚洲丰满少妇自慰呻吟_97日韩有码在线_资源在线日韩欧美_一区二区精品毛片,辰东完美世界有声小说,欢乐颂第一季,yy玄幻小说排行榜完本

首頁 > 數據庫 > MySQL > 正文

Mysql默認設置的危險性分析第1/2頁

2020-01-19 00:22:45
字體:
來源:轉載
供稿:網友
默認安裝的mysql服務不安全因素涉及的內容有:
一.mysql默認的授權表
二.缺乏日志能力
三.my.ini文件泄露口令
四.服務默認被綁定全部的網絡接口上
五.默認安裝路徑下的mysql目錄權限
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
一.mysql默認的授權表
由于mysql對身份驗證是基于mysql這個數據庫的,也叫授權表。所有的權限設置都在這里了。
我們只討論最為重要的一個表 user表。它控制的是接受或拒絕連接。
先看一下
select host,user,password,Delete_priv from user;
+-----------+------+------------------+-------------+
| host | user | password | Delete_priv |
+-----------+------+------------------+-------------+
| localhost | root | 67457e226a1a15bd | Y |
| % | root | | Y |
| localhost | | | Y |
| % | | | N |
+-----------+------+------------------+-------------+
現在新的版本,安裝完畢都會出現一個快速設置窗口,用于設置口令。
以上,就是user表里的內容(略了點)看看有什么問題?
我們知道mysql的驗證方式是比較特殊的,它基于兩個2個信息來進行的
1.從那里連接
2.用戶名
第一條沒什么問題,當然口令必須是安全的。
第二條從任何主機,以用戶root,不需要口令都可以連接,權限為所有的權限。(注:這里的權限是全局權限)
第三條從本地主機,任何用戶名(注:user為空白,不表示不需要用戶名),不需要口令,都可以連接,所有的權限
第四條從任何主機,任何用戶名,不需要口令,都可以連接,無任何權限。
可以看出,2/3/4都是不安全的,如何攻擊這里就不說了,請參看資料文庫。
如果你mysql只允許本地連接,刪除host的%和user中的nul(表示空)
delete from user where host='% ';
delete from host where user=' ';
最后的user表,看起來因該是這個樣子
+-----------+------+------------------+-------------+
| host | user | password | Delete_priv |
+-----------+------+------------------+-------------+
| localhost | root | 67457e226a1a15bd | Y |
+-----------+------+------------------+-------------+
最后需要刷新授權表,使其立刻生效
flush privileges;
如果你的mysql需要被遠程使用,需要為%段中的root帳號,加上一個安全的密碼
update user set password=password(‘youpass‘) where host=‘%‘;
其中youpass,就是口令
mysql> select host,user,password,Delete_priv from user;
+-----------+------+------------------+-------------+
| host | user | password | Delete_priv |
+-----------+------+------------------+-------------+
| localhost | root | 67457e226a1a15bd | Y |
| % | root | 77c590fa148bc9fb | Y |
+-----------+------+------------------+-------------+

發表評論 共有條評論
用戶名: 密碼:
驗證碼: 匿名發表
主站蜘蛛池模板: 榆社县| 新闻| 泗阳县| 天台县| 舞阳县| 普兰店市| 曲靖市| 和政县| 张北县| 苏州市| 大庆市| 读书| 拉萨市| 翁源县| 于田县| 文山县| 长白| 新余市| 农安县| 赣州市| 博湖县| 闵行区| 墨脱县| 荔浦县| 洛隆县| 荃湾区| 栖霞市| 镶黄旗| 昭觉县| 瑞安市| 遵义县| 浮梁县| 龙里县| 洪洞县| 博客| 伊春市| 维西| 四会市| 台北县| 奉新县| 平南县|