1. casa
  2. Domanda e risposta
  3. Fusione in sicurezza di più utenti MySQL su%

Fusione in sicurezza di più utenti MySQL su%

2015-05-15 9 views
5

Recentemente ho gestito il mio MySQL (5.5.41) su macchine Linux e ho deciso di rimuovere/unire MySQL inizialmente creato root utenti.Fusione in sicurezza di più utenti MySQL su%

Citando MySQL 5.5 documentation (anche bello article here)

In Unix, ogni account di root consente le connessioni dall'host locale. Le connessioni possono essere effettuate specificando il nome host localhost, l'indirizzo IP 127.0.0.1, l'indirizzo IPv6 :: 1 o il nome host o l'indirizzo IP effettivo.

La user tavolo è

+-----------+------------------+-------------------------------------------+ 
| Host  | User    | Password         | 
+-----------+------------------+-------------------------------------------+ 
| localhost | root    | *ABC...         | 
| lamp  | root    |           | 
| 127.0.0.1 | root    | *ABC...         | 
| ::1  | root    |           | 
| localhost | john    | *EFG...         | 
| lamp  | john    |           | 
| 127.0.0.1 | john    | *EFG...         | 
| ::1  | john    |           | 
+-----------+------------------+-------------------------------------------+

è anche impostato per ascoltare solo su localhost bind-address = 127.0.0.1 come segue. La domanda è

  • Quali potrebbero essere le possibili cadute di fusione di più root agli utenti di uno solo e l'utilizzo di % jolly come Host?
  • Alcune delle password sono vuote quindi non è richiesto il login. Se viene utilizzato % e la password è impostata, alcuni utenti (lamp, IPv6 ::1) non potranno accedere. Questo dovrebbe essere evitato?
  • Quale potrebbe essere la soluzione migliore: creare un nuovo utente basandosi sulla creazione iniziale (127.0.0.1, ::1, localhost) o utilizzare il carattere jolly %?

fonte

2015-05-15 sitilge

risposta

0

Per prima cosa, suggerisco di evitare l'uso del carattere jolly % (se non è strettamente necessario). Se gli utenti si connettono al database dallo stesso host su cui è in esecuzione il server mysql, il mio consiglio è di utilizzare 127.0.0.1

Tutte le best practice indicano che il login senza password deve essere disabilitato.

Per quanto riguarda IPv6, non ha senso avere quell'utente se non lo si sta utilizzando.

Io suggerirei di leggere questo http://www.greensql.com/content/mysql-security-best-practices-hardening-mysql-tips

fonte

2015-05-20 17:00:23

+0

non sto usando lampada o utente localhost, come pure - è usato dal sistema. Potrebbero essere rimossi? – sitilge

+0

se si utilizzano le impostazioni DNS predefinite (e localhost e lampada _are_ convertite in 127.0.0.1), è sicuro rimuoverle. Sono posti lì rigorosamente per questo scopo. Solo per la tua tranquillità, prima di rimuoverli per 'root', rimuoverli per' john' (lasciando solo 'john @ 127.0.0.1') e vedere se riesci a connetterti dal terminale, mysql-workbench e dall'applicazione . –

+0

IMHO, il loopback è fatto in/etc/hosts (il mio file hosts non contiene questi record). Non sono ancora sicuro degli accessi senza password: da un lato assomiglia ad un buco di sicurezza GIGANTE ma dall'altro può essere praticabile affinché il sistema li abbia ... – sitilge

Problemi correlati

 Problemi correlati