Sicherheit des MySQL-Server gegen Fremdzugriffe

Da ich in den letzten Tagen das leider am eigenen Leib erfahren mußte, gebe ich hier mal ein paar Tipps zur Grundsicherheit. Ihr solltet aber Bedenken, das dies nur ein Baustein in einer in gänze reicht Stabilen Sicherung ist.

Als erstes solltet Ihr euch von der Bequemlichkeit eines ROOT-Users für den Tracker verabschieden. Das ist nicht nur Töricht, sondern auch äußerst sträflich.

geht in euer PHPMyAdmin als root und klickt dann auf Rechte
01.jpg
Dort solltet Ihr als erstes ALLEN Benutzern ein Passwort zuweisen.
Dann geht ihr auf neuer Benutzer und legt euch einen neuen User an
02.jpg
Dieser bekommt NUR diese 5 Rechte
03.jpg
dann abspeichern und die Daten des eben angelegten Users in eine Tracker-Config eintragen. Damit ist es AUSGESCHLOSSEN, das Irgendwer über ein Script einen neuen Account anlegt und so Zugriff auf eure Datenbank nimmt.

Ihr solltet euch immer vor Augen halten -- Bequemlichkeit ist keine Ausrede dafür, die Sicherheit außer Acht zu lassen

in diesem Sinne -- hf

Zitat:

Zitat von HaBe

falls mal wer sein mysql root pwd verlieren sollte, bekommt er es so wieder (root zugriff per ssh vorausgesetzt):
Recover MySQL root password

zusätzlich von den von dir vorgeschlagenen maßnahmen, gewähre ich dem db-user auch nur rechte auf der tracker datenbank...

[Thunder™]

Zitat:

Zitat von D@rk-€vil™

jup das wollte ich damit sagen, denn sollte man eh komplet am server machen, also mysql sowie ssh alles andere auch was man so braucht.

und noch nen kleiner tip lasst am besten den ftp server weg, ist eh balasst fürn root ^^. so dies war mal ne kleine hilfe von mir am rande.

warum neuen user anlegen wenn mann den root umbenennen kann

kommt doch das gleiche bei raus...oder nicht?

[Cerberus]

NEIN -- den ROOT brauchst du, um den MySQL-Server anzusprechen ...

und einen User mit Vollrechten braucht man ja ...

[Thunder™]

hmm ok....

hab aber das problem wenn ich nen seperaten user anlege
für den tracker das ich die shouty nicht löschen kann...
musste den user extra noch das recht für die struktur geben

und zwar bei Alter noch ein hacken rein...
jetzt gehts wieder...

[Cerberus]

ich würde auf keinen Fall die Möglichkeit geben, das über ein PHP-Script eine komplette Tabelle gelöscht werden kann. Eher würde ich mir die Befehle zum leeren der SB-Tabelle manuell rauskramen und es einzeln machen...

Man bedenke -- dieses Recht hat dann jedes Script in jeder Tabelle !!

Sauber geschriebene Scripte brauchen solche Funktionen nicht -- grad in der NV -- wos so viele Angriffs-Möglichkeiten gibt

[Thunder™]

Danke für den tip,
werd mal schauen ob es sich anderweitig lösen lässt
ohne das ich in die db muss um die shouty zu löschen!

[Cerberus]

sicher gibts diese Methode -- sicher ist das etwas umständlicher -- aber da es je keine Automatische Sache ist und man das ja nur einzeln macht, würde mir die Sicherheit der Bequemlichkeit vor gehen

[Thunder™]

jo hast recht und will gar nicht wieder sprechen..


aber eine frage habe ich noch...

gibt es denn überhaupt ne delshout.php
die mann ausführen kann ohne das ich errors bekomme?

oder werde ich den ümständlichen weg im kauf nehmen müssen
und es direkt über die db zu machen?

[Pr1me]

erstell dir doch einfach eine eigene mit Truncate

[Thunder™]

ich werde mich gleich mal anmachen nach der Arbeit..
wenn ich nicht weiter komme werde ich euch nochmal
um rat fragen müssen..

mfg Thunder™