Da ich in den letzten Tagen das leider am eigenen Leib erfahren mußte, gebe ich hier mal ein paar Tipps zur Grundsicherheit. Ihr solltet aber Bedenken, das dies nur ein Baustein in einer in gänze reicht Stabilen Sicherung ist.
Als erstes solltet Ihr euch von der Bequemlichkeit eines ROOT-Users für den Tracker verabschieden. Das ist nicht nur Töricht, sondern auch äußerst sträflich.
geht in euer PHPMyAdmin als root und klickt dann auf Rechte
01.jpg
Dort solltet Ihr als erstes ALLEN Benutzern ein Passwort zuweisen.
Dann geht ihr auf neuer Benutzer und legt euch einen neuen User an
02.jpg
Dieser bekommt NUR diese 5 Rechte
03.jpg
dann abspeichern und die Daten des eben angelegten Users in eine Tracker-Config eintragen. Damit ist es
AUSGESCHLOSSEN, das Irgendwer über ein Script einen neuen Account anlegt und so Zugriff auf eure Datenbank nimmt.
Ihr solltet euch immer vor Augen halten -- Bequemlichkeit ist keine Ausrede dafür, die Sicherheit außer Acht zu lassen
in diesem Sinne -- hf
Zitat:
|
Zitat von HaBe
falls mal wer sein mysql root pwd verlieren sollte, bekommt er es so wieder (root zugriff per ssh vorausgesetzt):
Recover MySQL root password
zusätzlich von den von dir vorgeschlagenen maßnahmen, gewähre ich dem db-user auch nur rechte auf der tracker datenbank... |