NetVision-Technik

Zur?ck   NetVision-Technik > Forum > Server > Webserver > Security

Security Hier kommen alle Fragen und Lösungen zur Sicherheit und zu Fixes am Serversystem rein

Antwort
 
Themen-Optionen Ansicht
Alt 21.05.2008, 19:14   #1
Sicherheit des MySQL-Server gegen Fremdzugriffe
Cerberus Cerberus ist gerade online 21.05.2008, 19:14

Da ich in den letzten Tagen das leider am eigenen Leib erfahren mußte, gebe ich hier mal ein paar Tipps zur Grundsicherheit. Ihr solltet aber Bedenken, das dies nur ein Baustein in einer in gänze reicht Stabilen Sicherung ist.

Als erstes solltet Ihr euch von der Bequemlichkeit eines ROOT-Users für den Tracker verabschieden. Das ist nicht nur Töricht, sondern auch äußerst sträflich.

geht in euer PHPMyAdmin als root und klickt dann auf Rechte
01.jpg
Dort solltet Ihr als erstes ALLEN Benutzern ein Passwort zuweisen.
Dann geht ihr auf neuer Benutzer und legt euch einen neuen User an
02.jpg
Dieser bekommt NUR diese 5 Rechte
03.jpg
dann abspeichern und die Daten des eben angelegten Users in eine Tracker-Config eintragen. Damit ist es AUSGESCHLOSSEN, das Irgendwer über ein Script einen neuen Account anlegt und so Zugriff auf eure Datenbank nimmt.

Ihr solltet euch immer vor Augen halten -- Bequemlichkeit ist keine Ausrede dafür, die Sicherheit außer Acht zu lassen

in diesem Sinne -- hf

Zitat:
Zitat von HaBe
falls mal wer sein mysql root pwd verlieren sollte, bekommt er es so wieder (root zugriff per ssh vorausgesetzt):
Recover MySQL root password

zusätzlich von den von dir vorgeschlagenen maßnahmen, gewähre ich dem db-user auch nur rechte auf der tracker datenbank...

__________________

Fragen gehören ins Forum - und NICHT in mein Postfach !
Ich erteile KEINEN Privatunterricht über e-mail und PN !

Hackliste Br. NV nach Threadstarter u. Aktualität <--+--> Liste Hacks Bereich NV Alphabethisch

Ge?ndert von Cerberus (22.05.2008 um 09:14 Uhr).

 
Benutzerbild von Cerberus
Cerberus
Administrator
Registriert seit: 07.03.2008
Ort: 3. Bit Links hinter dem Kernel
Alter: 49
Beitr?ge: 9.639
Abgegebene Danke: 1.121
Erhielt 4.499 Danke für 458 Beiträge
Downloads: 18
Uploads: 9
Nachrichten: 2258
Hits: 57531
Mit Zitat antworten
Folgende 14 Benutzer sagen Danke zu Cerberus für den nützlichen Beitrag:
$iMpLy (03.10.2008), BiGPoWeR (21.05.2008), Blue (04.01.2009), desaster (22.05.2008), destination (19.08.2008), djfreakmen (28.05.2009), DoLo (21.05.2008), gotthummer (21.05.2008), Mitnick (13.05.2011), One12 (04.09.2009), rodi (08.07.2009), Thunder™ (23.05.2009), wagaman (14.11.2010), waylin (21.05.2008)
Alt 21.05.2008, 19:42   #2
Solstice
Moderator
Punkte: 71.264, Level: 100 Punkte: 71.264, Level: 100 Punkte: 71.264, Level: 100
Levelaufstieg: 0% Levelaufstieg: 0% Levelaufstieg: 0%
Aktivität: 0% Aktivität: 0% Aktivität: 0%
Letzte Erfolge
Auszeichnungen
 
Benutzerbild von Solstice
 
Registriert seit: 10.04.2008
Alter: 36
Beitr?ge: 4.074
Abgegebene Danke: 200
Erhielt 1.331 Danke für 153 Beiträge
Downloads: 2
Uploads: 1
Nachrichten: 731
Renommee-Modifikator:
6014 Solstice genießt hohes AnsehenSolstice genießt hohes AnsehenSolstice genießt hohes AnsehenSolstice genießt hohes AnsehenSolstice genießt hohes AnsehenSolstice genießt hohes AnsehenSolstice genießt hohes AnsehenSolstice genießt hohes AnsehenSolstice genießt hohes AnsehenSolstice genießt hohes AnsehenSolstice genießt hohes Ansehen
Standard

Darf ich fragen...

Wieso kann ich auf meinen Mysql-server von ausserhalb zugreifen (dh beliebiger PC) wenn ich den user mit dem ich mich einlogge auf localhost setze.
Da kann doch was net stimmen?

Er verlangt zwar pass, aber das ich da dann mit pass drufkomm lässt mich dann doch zweifeln...

mfg,
Sol
__________________
Schmutziges Geschirr schimmelt nicht,
wenn man es einfriert

Solstice ist offline   Mit Zitat antworten Nach oben
Alt 21.05.2008, 19:46   #3
gotthummer
Master Coder
 
Benutzerbild von gotthummer
 
Registriert seit: 10.03.2008
Ort: Zuhause
Beitr?ge: 8.037
Abgegebene Danke: 1.199
Erhielt 2.928 Danke für 266 Beiträge
Downloads: 28
Uploads: 9
Nachrichten: 357
Renommee-Modifikator:
10 gotthummer genießt hohes Ansehengotthummer genießt hohes Ansehengotthummer genießt hohes Ansehengotthummer genießt hohes Ansehengotthummer genießt hohes Ansehengotthummer genießt hohes Ansehengotthummer genießt hohes Ansehengotthummer genießt hohes Ansehengotthummer genießt hohes Ansehengotthummer genießt hohes Ansehengotthummer genießt hohes Ansehen
Standard

Zusätzlich fehlt mir auch noch ne erklärung was du mit dem root user gemacht hast der eh zugriff hat wenn du da nix geändert hast und der raufkommt und du dann nur nen zusätzlichen benutzer anlegst vertseh ich das nicht ganz denn dann ist es nur ein acc mehr im phpmyadmin und somit ein angriffspunkt mehr oder versteh ich da gerade was falsch ?
__________________
Code:
require_once('include/gehirn.php'); 

session_start(); 

if(empty($action)) 
{   
  echo "<td class="tablea">Kopf anstrengen und Nachdenken</td>"; 
}
else
{   
  echo "<td class="tablea">Kopf zuviel angestrenkt nun Qualmt er ;)</td>";
}





gotthummer ist offline   Mit Zitat antworten Nach oben
Alt 21.05.2008, 19:54   #4
Cerberus
Administrator
 
Benutzerbild von Cerberus
 
Registriert seit: 07.03.2008
Ort: 3. Bit Links hinter dem Kernel
Alter: 49
Beitr?ge: 9.639
Abgegebene Danke: 1.121
Erhielt 4.499 Danke für 458 Beiträge
Themenstarter Themenstarter
Downloads: 18
Uploads: 9
Nachrichten: 2258
Renommee-Modifikator:
10 Cerberus genießt hohes AnsehenCerberus genießt hohes AnsehenCerberus genießt hohes AnsehenCerberus genießt hohes AnsehenCerberus genießt hohes AnsehenCerberus genießt hohes AnsehenCerberus genießt hohes AnsehenCerberus genießt hohes AnsehenCerberus genießt hohes AnsehenCerberus genießt hohes AnsehenCerberus genießt hohes Ansehen
Standard

der Root hat Vollzugriff -- und das bedeutet, er kann komplette Datenbanken killen und auch neue Benutzer anlegen ...

wofür muß das der Tracker-User ?????
Wenn der das also nicht kann, ist schonmal ein ganzer Arsch weniger möglich ...
Und die standart-Konfig hat 2 Roots -- einer hat ein PW (vom Setup) -- der andere ist offen (ohne PW -- der Server selber) ...

Ihr solltet euch immer vor Augen halten, das es immer einen bgeben wird der versuchen wird in das System einzubrechen ...

Hat er nen eigenen ROOT-Account in der DB ist ihm eure Source ziemlich egal -- er pinselt von irgendwo her direkt in die DB -- ohne das Ihr was machen könnt ....

daher der Tracker einen "mini-Account" ....
denn -- vieles braucht die Source nicht -- also wofür Ihr mehr rechte geben, als unbedingt notwendig
__________________

Fragen gehören ins Forum - und NICHT in mein Postfach !
Ich erteile KEINEN Privatunterricht über e-mail und PN !

Hackliste Br. NV nach Threadstarter u. Aktualität <--+--> Liste Hacks Bereich NV Alphabethisch
Cerberus ist gerade online   Mit Zitat antworten Nach oben
Alt 21.05.2008, 23:18   #5
Joan
Benutzer
Punkte: 2.850, Level: 32 Punkte: 2.850, Level: 32 Punkte: 2.850, Level: 32
Levelaufstieg: 67% Levelaufstieg: 67% Levelaufstieg: 67%
Aktivität: 0% Aktivität: 0% Aktivität: 0%
Letzte Erfolge
 
Benutzerbild von Joan
 
Registriert seit: 24.03.2008
Beitr?ge: 77
Abgegebene Danke: 5
Erhielt 17 Danke für 6 Beiträge
Downloads: 1
Uploads: 0
Nachrichten: 0
Renommee-Modifikator:
112 Joan sorgt für eine eindrucksvolle AtmosphäreJoan sorgt für eine eindrucksvolle Atmosphäre
Standard

kleines problem hab

[1045] dbconn: mysql_connect: Access denied for user 'root'@'localhost' (using password: YES)?

wie kann man das wieder in Ordnung bringen danke
Joan ist offline   Mit Zitat antworten Nach oben
Alt 21.05.2008, 23:28   #6
Cerberus
Administrator
 
Benutzerbild von Cerberus
 
Registriert seit: 07.03.2008
Ort: 3. Bit Links hinter dem Kernel
Alter: 49
Beitr?ge: 9.639
Abgegebene Danke: 1.121
Erhielt 4.499 Danke für 458 Beiträge
Themenstarter Themenstarter
Downloads: 18
Uploads: 9
Nachrichten: 2258
Renommee-Modifikator:
10 Cerberus genießt hohes AnsehenCerberus genießt hohes AnsehenCerberus genießt hohes AnsehenCerberus genießt hohes AnsehenCerberus genießt hohes AnsehenCerberus genießt hohes AnsehenCerberus genießt hohes AnsehenCerberus genießt hohes AnsehenCerberus genießt hohes AnsehenCerberus genießt hohes AnsehenCerberus genießt hohes Ansehen
Standard

RootPasswort "verlegt" ...

das Rücksetzen wird schwierig ...
der speichert die in der DB und in deiner setup-Datei
__________________

Fragen gehören ins Forum - und NICHT in mein Postfach !
Ich erteile KEINEN Privatunterricht über e-mail und PN !

Hackliste Br. NV nach Threadstarter u. Aktualität <--+--> Liste Hacks Bereich NV Alphabethisch
Cerberus ist gerade online   Mit Zitat antworten Nach oben
Alt 21.05.2008, 23:31   #7
Joan
Benutzer
Punkte: 2.850, Level: 32 Punkte: 2.850, Level: 32 Punkte: 2.850, Level: 32
Levelaufstieg: 67% Levelaufstieg: 67% Levelaufstieg: 67%
Aktivität: 0% Aktivität: 0% Aktivität: 0%
Letzte Erfolge
 
Benutzerbild von Joan
 
Registriert seit: 24.03.2008
Beitr?ge: 77
Abgegebene Danke: 5
Erhielt 17 Danke für 6 Beiträge
Downloads: 1
Uploads: 0
Nachrichten: 0
Renommee-Modifikator:
112 Joan sorgt für eine eindrucksvolle AtmosphäreJoan sorgt für eine eindrucksvolle Atmosphäre
Standard

was nun ?
Joan ist offline   Mit Zitat antworten Nach oben
Alt 21.05.2008, 23:38   #8
Cerberus
Administrator
 
Benutzerbild von Cerberus
 
Registriert seit: 07.03.2008
Ort: 3. Bit Links hinter dem Kernel
Alter: 49
Beitr?ge: 9.639
Abgegebene Danke: 1.121
Erhielt 4.499 Danke für 458 Beiträge
Themenstarter Themenstarter
Downloads: 18
Uploads: 9
Nachrichten: 2258
Renommee-Modifikator:
10 Cerberus genießt hohes AnsehenCerberus genießt hohes AnsehenCerberus genießt hohes AnsehenCerberus genießt hohes AnsehenCerberus genießt hohes AnsehenCerberus genießt hohes AnsehenCerberus genießt hohes AnsehenCerberus genießt hohes AnsehenCerberus genießt hohes AnsehenCerberus genießt hohes AnsehenCerberus genießt hohes Ansehen
Standard

also ich hab das einige Male versucht -- aber es hat nie funktioniert ....
wenn der User des Trackers noch Root-Rechte hat, kannst du auch den nutzen -- sonst brauchst du das PW, welches du beim Einrichten des SQL-Servers vergeben hast
__________________

Fragen gehören ins Forum - und NICHT in mein Postfach !
Ich erteile KEINEN Privatunterricht über e-mail und PN !

Hackliste Br. NV nach Threadstarter u. Aktualität <--+--> Liste Hacks Bereich NV Alphabethisch
Cerberus ist gerade online   Mit Zitat antworten Nach oben
Alt 21.05.2008, 23:50   #9
Joan
Benutzer
Punkte: 2.850, Level: 32 Punkte: 2.850, Level: 32 Punkte: 2.850, Level: 32
Levelaufstieg: 67% Levelaufstieg: 67% Levelaufstieg: 67%
Aktivität: 0% Aktivität: 0% Aktivität: 0%
Letzte Erfolge
 
Benutzerbild von Joan
 
Registriert seit: 24.03.2008
Beitr?ge: 77
Abgegebene Danke: 5
Erhielt 17 Danke für 6 Beiträge
Downloads: 1
Uploads: 0
Nachrichten: 0
Renommee-Modifikator:
112 Joan sorgt für eine eindrucksvolle AtmosphäreJoan sorgt für eine eindrucksvolle Atmosphäre
Standard

geht leider alles nicht

kann man das nicht löschen und neu installieren ?
Joan ist offline   Mit Zitat antworten Nach oben
Alt 21.05.2008, 23:55   #10
Cerberus
Administrator
 
Benutzerbild von Cerberus
 
Registriert seit: 07.03.2008
Ort: 3. Bit Links hinter dem Kernel
Alter: 49
Beitr?ge: 9.639
Abgegebene Danke: 1.121
Erhielt 4.499 Danke für 458 Beiträge
Themenstarter Themenstarter
Downloads: 18
Uploads: 9
Nachrichten: 2258
Renommee-Modifikator:
10 Cerberus genießt hohes AnsehenCerberus genießt hohes AnsehenCerberus genießt hohes AnsehenCerberus genießt hohes AnsehenCerberus genießt hohes AnsehenCerberus genießt hohes AnsehenCerberus genießt hohes AnsehenCerberus genießt hohes AnsehenCerberus genießt hohes AnsehenCerberus genießt hohes AnsehenCerberus genießt hohes Ansehen
Standard

du kannst nur versuchen, den SQL-Server zu deinstallieren -- die Rest-Daten zu löschen und neu installieren ...
__________________

Fragen gehören ins Forum - und NICHT in mein Postfach !
Ich erteile KEINEN Privatunterricht über e-mail und PN !

Hackliste Br. NV nach Threadstarter u. Aktualität <--+--> Liste Hacks Bereich NV Alphabethisch
Cerberus ist gerade online   Mit Zitat antworten Nach oben
Antwort

Stichworte
benutzer, eingeschränkt, mysql-benutzer, mysql-sicherheit, phpmyadmin, sicherheit


Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, G?ste: 1)
 

Forumregeln
Es ist Ihnen nicht erlaubt, neue Themen zu verfassen.
Es ist Ihnen nicht erlaubt, auf Beitr?ge zu antworten.
Es ist Ihnen nicht erlaubt, Anh?nge hochzuladen.
Es ist Ihnen nicht erlaubt, Ihre Beitr?ge zu bearbeiten.

BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus.

Gehe zu

?hnliche Themen
Thema Autor Forum Antworten Letzter Beitrag
MySQL Server Problem mcseeder Webserver 5 02.05.2008 20:53
MySQL-Server neu starten Cerberus Betriebssysteme 0 10.03.2008 17:04


Alle Zeitangaben in WEZ +1. Es ist jetzt 21:01 Uhr.


Powered by vBulletin® Version 3.8.9 (Deutsch)
Copyright ©2000 - 2024, vBulletin Solutions, Inc.
Template-Modifikationen durch TMS