4.2.2 Cum de a securiza MySQL de la hackeri
Când vă conectați la un server MySQL, este de obicei o parolă. Prin link, parola nu este transmisă ca text simplu, dar algoritmul de criptare nu este foarte complicat. Un hacker inteligent, dacă poate intercepta traficul între client și server, cu o anumită perseverență poate sparge parola. Prin urmare, în cazul în care conexiunea dintre client și server este efectuată printr-o rețea de neîncredere, pentru a cripta conexiunea trebuie folosit un tunel SSH.
Dacă utilizați MySQL 4.0, puteți utiliza și suportul furnizat în această versiune a protocolului OpenSSL. Consultați secțiunea 4.3.9 Utilizarea conexiunilor securizate.
Pentru a asigura securitatea sistemului MySQL, trebuie să urmați cu strictețe următoarele recomandări:
- Toți utilizatorii MySQL trebuie să aibă parole. Pentru aplicațiile client / server este obișnuit ca un client să poată specifica orice nume de utilizator, dar dacă nu este dată nici o parolă pentru other_user, atunci oricine poate merge sub orice nume pur și simplu tastând mysql -u other_user db_name. Pentru a evita acest lucru, puteți modifica parola pentru toți utilizatorii editând scriptul mysql_install_db înainte de a porni aplicația sau doar parola pentru utilizatorul root al MySQL, după cum se arată mai jos:
- Nu rulați daemonul MySQL ca utilizator rădăcină Unix. Acest lucru este foarte periculos, deoarece orice utilizator care are privilegiul FILE. va fi capabil să creeze fișiere ca utilizator root (de exemplu
Trebuie într-adevăr să se sublinieze că funcționarea
la fel de rău ca să-l rulați ca rădăcină. Încărcați, de ex. Apache rulează ca nimeni și
oricine poate executa programe CGI poate face orice vrea
baza de date. Uraaa.