Sicherheit des MySQL-Server gegen Fremdzugriffe
 

Da ich in den letzten Tagen das leider am eigenen Leib erfahren mußte, gebe ich hier mal ein paar Tipps zur Grundsicherheit. Ihr solltet aber Bedenken, das dies nur ein Baustein in einer in gänze reicht Stabilen Sicherung ist.

Als erstes solltet Ihr euch von der Bequemlichkeit eines ROOT-Users für den Tracker verabschieden. Das ist nicht nur Töricht, sondern auch äußerst sträflich.

geht in euer PHPMyAdmin als root und klickt dann auf Rechte
Anhang 756
Dort solltet Ihr als erstes ALLEN Benutzern ein Passwort zuweisen.
Dann geht ihr auf neuer Benutzer und legt euch einen neuen User an
Anhang 757
Dieser bekommt NUR diese 5 Rechte
Anhang 758
dann abspeichern und die Daten des eben angelegten Users in eine Tracker-Config eintragen. Damit ist es AUSGESCHLOSSEN, das Irgendwer über ein Script einen neuen Account anlegt und so Zugriff auf eure Datenbank nimmt.

Ihr solltet euch immer vor Augen halten -- Bequemlichkeit ist keine Ausrede dafür, die Sicherheit außer Acht zu lassen

in diesem Sinne -- hf :wink:

Darf ich fragen...

Wieso kann ich auf meinen Mysql-server von ausserhalb zugreifen (dh beliebiger PC) wenn ich den user mit dem ich mich einlogge auf localhost setze.
Da kann doch was net stimmen?

Er verlangt zwar pass, aber das ich da dann mit pass drufkomm lässt mich dann doch zweifeln...

mfg,
Sol

Zusätzlich fehlt mir auch noch ne erklärung was du mit dem root user gemacht hast der eh zugriff hat wenn du da nix geändert hast und der raufkommt und du dann nur nen zusätzlichen benutzer anlegst vertseh ich das nicht ganz denn dann ist es nur ein acc mehr im phpmyadmin und somit ein angriffspunkt mehr oder versteh ich da gerade was falsch ?

der Root hat Vollzugriff -- und das bedeutet, er kann komplette Datenbanken killen und auch neue Benutzer anlegen ...

wofür muß das der Tracker-User ?????
Wenn der das also nicht kann, ist schonmal ein ganzer Arsch weniger möglich ...
Und die standart-Konfig hat 2 Roots -- einer hat ein PW (vom Setup) -- der andere ist offen (ohne PW -- der Server selber) ...

Ihr solltet euch immer vor Augen halten, das es immer einen bgeben wird der versuchen wird in das System einzubrechen ...

Hat er nen eigenen ROOT-Account in der DB ist ihm eure Source ziemlich egal -- er pinselt von irgendwo her direkt in die DB -- ohne das Ihr was machen könnt ....

daher der Tracker einen "mini-Account" ....
denn -- vieles braucht die Source nicht -- also wofür Ihr mehr rechte geben, als unbedingt notwendig

kleines problem hab

[1045] dbconn: mysql_connect: Access denied for user 'root'@'localhost' (using password: YES)?

wie kann man das wieder in Ordnung bringen danke

RootPasswort "verlegt" ...

das Rücksetzen wird schwierig ...
der speichert die in der DB und in deiner setup-Datei

was nun ?:(

also ich hab das einige Male versucht -- aber es hat nie funktioniert ....
wenn der User des Trackers noch Root-Rechte hat, kannst du auch den nutzen -- sonst brauchst du das PW, welches du beim Einrichten des SQL-Servers vergeben hast

geht leider alles nicht

kann man das nicht löschen und neu installieren ?

du kannst nur versuchen, den SQL-Server zu deinstallieren -- die Rest-Daten zu löschen und neu installieren ...