NetVision-Technik

Zur?ck   NetVision-Technik > Forum > Server > Webserver > Security

Security Hier kommen alle Fragen und Lösungen zur Sicherheit und zu Fixes am Serversystem rein

Antwort
 
Themen-Optionen Ansicht
Alt 21.05.2008, 19:14  
Sicherheit des MySQL-Server gegen Fremdzugriffe
Cerberus Cerberus ist gerade online 21.05.2008, 19:14

Da ich in den letzten Tagen das leider am eigenen Leib erfahren mußte, gebe ich hier mal ein paar Tipps zur Grundsicherheit. Ihr solltet aber Bedenken, das dies nur ein Baustein in einer in gänze reicht Stabilen Sicherung ist.

Als erstes solltet Ihr euch von der Bequemlichkeit eines ROOT-Users für den Tracker verabschieden. Das ist nicht nur Töricht, sondern auch äußerst sträflich.

geht in euer PHPMyAdmin als root und klickt dann auf Rechte
01.jpg
Dort solltet Ihr als erstes ALLEN Benutzern ein Passwort zuweisen.
Dann geht ihr auf neuer Benutzer und legt euch einen neuen User an
02.jpg
Dieser bekommt NUR diese 5 Rechte
03.jpg
dann abspeichern und die Daten des eben angelegten Users in eine Tracker-Config eintragen. Damit ist es AUSGESCHLOSSEN, das Irgendwer über ein Script einen neuen Account anlegt und so Zugriff auf eure Datenbank nimmt.

Ihr solltet euch immer vor Augen halten -- Bequemlichkeit ist keine Ausrede dafür, die Sicherheit außer Acht zu lassen

in diesem Sinne -- hf

Zitat:
Zitat von HaBe
falls mal wer sein mysql root pwd verlieren sollte, bekommt er es so wieder (root zugriff per ssh vorausgesetzt):
Recover MySQL root password

zusätzlich von den von dir vorgeschlagenen maßnahmen, gewähre ich dem db-user auch nur rechte auf der tracker datenbank...

__________________

Fragen gehören ins Forum - und NICHT in mein Postfach !
Ich erteile KEINEN Privatunterricht über e-mail und PN !

Hackliste Br. NV nach Threadstarter u. Aktualität <--+--> Liste Hacks Bereich NV Alphabethisch

Ge?ndert von Cerberus (22.05.2008 um 09:14 Uhr).

 
Benutzerbild von Cerberus
Cerberus
Administrator
Registriert seit: 07.03.2008
Ort: 3. Bit Links hinter dem Kernel
Alter: 49
Beitr?ge: 9.639
Abgegebene Danke: 1.121
Erhielt 4.499 Danke für 458 Beiträge
Downloads: 18
Uploads: 9
Nachrichten: 2258
Hits: 57379
Mit Zitat antworten
Folgende 14 Benutzer sagen Danke zu Cerberus für den nützlichen Beitrag:
$iMpLy (03.10.2008), BiGPoWeR (21.05.2008), Blue (04.01.2009), desaster (22.05.2008), destination (19.08.2008), djfreakmen (28.05.2009), DoLo (21.05.2008), gotthummer (21.05.2008), Mitnick (13.05.2011), One12 (04.09.2009), rodi (08.07.2009), Thunder™ (23.05.2009), wagaman (14.11.2010), waylin (21.05.2008)
Alt 23.02.2009, 18:02   #21
SP4C3
Erfahrener Benutzer
Punkte: 19.573, Level: 88 Punkte: 19.573, Level: 88 Punkte: 19.573, Level: 88
Levelaufstieg: 45% Levelaufstieg: 45% Levelaufstieg: 45%
Aktivität: 0% Aktivität: 0% Aktivität: 0%
Letzte Erfolge
 
Benutzerbild von SP4C3
 
Registriert seit: 06.12.2008
Ort: /dev
Beitr?ge: 433
Abgegebene Danke: 12
Erhielt 77 Danke für 8 Beiträge
Downloads: 10
Uploads: 0
Nachrichten: 331
Renommee-Modifikator:
791 SP4C3 genießt hohes AnsehenSP4C3 genießt hohes AnsehenSP4C3 genießt hohes AnsehenSP4C3 genießt hohes AnsehenSP4C3 genießt hohes AnsehenSP4C3 genießt hohes AnsehenSP4C3 genießt hohes AnsehenSP4C3 genießt hohes AnsehenSP4C3 genießt hohes AnsehenSP4C3 genießt hohes AnsehenSP4C3 genießt hohes Ansehen
Standard

unter debian kann man mit
Code:
dpkg-reconfigure mysql-server
das root passwort für den mysql-server neu setzen!
SP4C3 ist offline   Mit Zitat antworten Nach oben
Alt 23.02.2009, 18:23   #22
NaIch
Profi
Punkte: 15.393, Level: 80 Punkte: 15.393, Level: 80 Punkte: 15.393, Level: 80
Levelaufstieg: 9% Levelaufstieg: 9% Levelaufstieg: 9%
Aktivität: 0% Aktivität: 0% Aktivität: 0%
Letzte Erfolge
 
Benutzerbild von NaIch
 
Registriert seit: 13.06.2008
Ort: Zuhause
Beitr?ge: 928
Abgegebene Danke: 53
Erhielt 38 Danke für 11 Beiträge
Downloads: 37
Uploads: 0
Nachrichten: 52
Renommee-Modifikator:
984 NaIch ist einfach richtig nettNaIch ist einfach richtig nettNaIch ist einfach richtig nettNaIch ist einfach richtig nett
Standard

Cerb oben du :

dann abspeichern und die Daten des eben angelegten Users in eine Tracker-Config eintragen. Damit ist es AUSGESCHLOSSEN, das Irgendwer über ein Script einen neuen Account anlegt und so Zugriff auf eure Datenbank nimmt.
NaIch ist offline   Mit Zitat antworten Nach oben
Alt 23.02.2009, 18:43   #23
Cerberus
Administrator
 
Benutzerbild von Cerberus
 
Registriert seit: 07.03.2008
Ort: 3. Bit Links hinter dem Kernel
Alter: 49
Beitr?ge: 9.639
Abgegebene Danke: 1.121
Erhielt 4.499 Danke für 458 Beiträge
Themenstarter Themenstarter
Downloads: 18
Uploads: 9
Nachrichten: 2258
Renommee-Modifikator:
10 Cerberus genießt hohes AnsehenCerberus genießt hohes AnsehenCerberus genießt hohes AnsehenCerberus genießt hohes AnsehenCerberus genießt hohes AnsehenCerberus genießt hohes AnsehenCerberus genießt hohes AnsehenCerberus genießt hohes AnsehenCerberus genießt hohes AnsehenCerberus genießt hohes AnsehenCerberus genießt hohes Ansehen
Standard

aso

ja -- config.php (bei wem es die so noch gibt )
__________________

Fragen gehören ins Forum - und NICHT in mein Postfach !
Ich erteile KEINEN Privatunterricht über e-mail und PN !

Hackliste Br. NV nach Threadstarter u. Aktualität <--+--> Liste Hacks Bereich NV Alphabethisch
Cerberus ist gerade online   Mit Zitat antworten Nach oben
Alt 23.02.2009, 19:26   #24
NaIch
Profi
Punkte: 15.393, Level: 80 Punkte: 15.393, Level: 80 Punkte: 15.393, Level: 80
Levelaufstieg: 9% Levelaufstieg: 9% Levelaufstieg: 9%
Aktivität: 0% Aktivität: 0% Aktivität: 0%
Letzte Erfolge
 
Benutzerbild von NaIch
 
Registriert seit: 13.06.2008
Ort: Zuhause
Beitr?ge: 928
Abgegebene Danke: 53
Erhielt 38 Danke für 11 Beiträge
Downloads: 37
Uploads: 0
Nachrichten: 52
Renommee-Modifikator:
984 NaIch ist einfach richtig nettNaIch ist einfach richtig nettNaIch ist einfach richtig nettNaIch ist einfach richtig nett
Standard

ach so einfach ergänzen, alles klaro
NaIch ist offline   Mit Zitat antworten Nach oben
Alt 23.02.2009, 23:25   #25
phenom
Profi
Punkte: 9.188, Level: 64 Punkte: 9.188, Level: 64 Punkte: 9.188, Level: 64
Levelaufstieg: 46% Levelaufstieg: 46% Levelaufstieg: 46%
Aktivität: 0% Aktivität: 0% Aktivität: 0%
Letzte Erfolge
Artikel Benutzer besitzt 1x Ideen-Spender Benutzer besitzt 1x Badboy Benutzer besitzt 1x Spamer Benutzer besitzt 1x Angel Benutzer besitzt 1x Helfer Benutzer besitzt 1x Fortgeschrittener Benutzer besitzt 1x Hilfe Level 3
 
Benutzerbild von phenom
 
Registriert seit: 06.12.2008
Ort: Oberhausen/Die Macht am Niederrhein
Alter: 62
Beitr?ge: 689
Abgegebene Danke: 115
Erhielt 139 Danke für 18 Beiträge
Downloads: 175
Uploads: 0
Nachrichten: 2
Renommee-Modifikator:
1216 phenom genießt hohes Ansehenphenom genießt hohes Ansehenphenom genießt hohes Ansehenphenom genießt hohes Ansehenphenom genießt hohes Ansehenphenom genießt hohes Ansehenphenom genießt hohes Ansehenphenom genießt hohes Ansehenphenom genießt hohes Ansehenphenom genießt hohes Ansehenphenom genießt hohes Ansehen
Standard

ähm,wenn mich nich alles täuscht,kommt der hacker doch nur aufm sql server,wenn man den phpmyadmin im normalem ordner lässt.wenn ich aber ein ordner erstelle der meinetwegen aus 25 zahlen und buchstaben besteht,und da den phpmyadmin reinhaue,is er doch von aussen( wennn man den ordnernamen nicht kennt) schwer erreichbar,oder?
phenom ist offline   Mit Zitat antworten Nach oben
Alt 23.02.2009, 23:29   #26
Cerberus
Administrator
 
Benutzerbild von Cerberus
 
Registriert seit: 07.03.2008
Ort: 3. Bit Links hinter dem Kernel
Alter: 49
Beitr?ge: 9.639
Abgegebene Danke: 1.121
Erhielt 4.499 Danke für 458 Beiträge
Themenstarter Themenstarter
Downloads: 18
Uploads: 9
Nachrichten: 2258
Renommee-Modifikator:
10 Cerberus genießt hohes AnsehenCerberus genießt hohes AnsehenCerberus genießt hohes AnsehenCerberus genießt hohes AnsehenCerberus genießt hohes AnsehenCerberus genießt hohes AnsehenCerberus genießt hohes AnsehenCerberus genießt hohes AnsehenCerberus genießt hohes AnsehenCerberus genießt hohes AnsehenCerberus genießt hohes Ansehen
Standard

das kommt er mit ne Scanner -- das nutzt garnix ...
meist ist er einfachste Weg über Lücken in der Source -- oder unsichere Passwörter ....

die meiste Tracker nutzen den ROOT-Zugang des MySQL -- und damit kommen die Probleme
__________________

Fragen gehören ins Forum - und NICHT in mein Postfach !
Ich erteile KEINEN Privatunterricht über e-mail und PN !

Hackliste Br. NV nach Threadstarter u. Aktualität <--+--> Liste Hacks Bereich NV Alphabethisch
Cerberus ist gerade online   Mit Zitat antworten Nach oben
Alt 24.02.2009, 00:40   #27
D@rk-€vil™
König
Punkte: 91.858, Level: 100 Punkte: 91.858, Level: 100 Punkte: 91.858, Level: 100
Levelaufstieg: 0% Levelaufstieg: 0% Levelaufstieg: 0%
Aktivität: 0% Aktivität: 0% Aktivität: 0%
Letzte Erfolge
Auszeichnungen
 
Benutzerbild von D@rk-€vil™
 
Registriert seit: 06.09.2008
Ort: Da wo der Himmel neun schlägt...
Beitr?ge: 1.630
Abgegebene Danke: 253
Erhielt 1.103 Danke für 139 Beiträge
Downloads: 89
Uploads: 3
Nachrichten: 3824
Renommee-Modifikator:
3461 D@rk-€vil™ genießt hohes AnsehenD@rk-€vil™ genießt hohes AnsehenD@rk-€vil™ genießt hohes AnsehenD@rk-€vil™ genießt hohes AnsehenD@rk-€vil™ genießt hohes AnsehenD@rk-€vil™ genießt hohes AnsehenD@rk-€vil™ genießt hohes AnsehenD@rk-€vil™ genießt hohes AnsehenD@rk-€vil™ genießt hohes AnsehenD@rk-€vil™ genießt hohes AnsehenD@rk-€vil™ genießt hohes Ansehen
Standard

kleiner tip mal von mir, schmeisst den user root komplet im mühl und schafft euch vorher nen neuen acc zu im mysql server, dann gehts auch besser, zum thema sichheit
__________________

Chaosqueen: Gegen unseren DDos Schutz hat keiner ne Chance.
Ich: Träum mal schön weiter du Naive Person.
D@rk-€vil™ ist offline   Mit Zitat antworten Nach oben
Alt 24.02.2009, 00:42   #28
Cerberus
Administrator
 
Benutzerbild von Cerberus
 
Registriert seit: 07.03.2008
Ort: 3. Bit Links hinter dem Kernel
Alter: 49
Beitr?ge: 9.639
Abgegebene Danke: 1.121
Erhielt 4.499 Danke für 458 Beiträge
Themenstarter Themenstarter
Downloads: 18
Uploads: 9
Nachrichten: 2258
Renommee-Modifikator:
10 Cerberus genießt hohes AnsehenCerberus genießt hohes AnsehenCerberus genießt hohes AnsehenCerberus genießt hohes AnsehenCerberus genießt hohes AnsehenCerberus genießt hohes AnsehenCerberus genießt hohes AnsehenCerberus genießt hohes AnsehenCerberus genießt hohes AnsehenCerberus genießt hohes AnsehenCerberus genießt hohes Ansehen
Standard

aber vorher nen neuen User (mit anderem Namen) mit ROOT-Rechten erstellen
__________________

Fragen gehören ins Forum - und NICHT in mein Postfach !
Ich erteile KEINEN Privatunterricht über e-mail und PN !

Hackliste Br. NV nach Threadstarter u. Aktualität <--+--> Liste Hacks Bereich NV Alphabethisch
Cerberus ist gerade online   Mit Zitat antworten Nach oben
Alt 24.02.2009, 00:47   #29
D@rk-€vil™
König
Punkte: 91.858, Level: 100 Punkte: 91.858, Level: 100 Punkte: 91.858, Level: 100
Levelaufstieg: 0% Levelaufstieg: 0% Levelaufstieg: 0%
Aktivität: 0% Aktivität: 0% Aktivität: 0%
Letzte Erfolge
Auszeichnungen
 
Benutzerbild von D@rk-€vil™
 
Registriert seit: 06.09.2008
Ort: Da wo der Himmel neun schlägt...
Beitr?ge: 1.630
Abgegebene Danke: 253
Erhielt 1.103 Danke für 139 Beiträge
Downloads: 89
Uploads: 3
Nachrichten: 3824
Renommee-Modifikator:
3461 D@rk-€vil™ genießt hohes AnsehenD@rk-€vil™ genießt hohes AnsehenD@rk-€vil™ genießt hohes AnsehenD@rk-€vil™ genießt hohes AnsehenD@rk-€vil™ genießt hohes AnsehenD@rk-€vil™ genießt hohes AnsehenD@rk-€vil™ genießt hohes AnsehenD@rk-€vil™ genießt hohes AnsehenD@rk-€vil™ genießt hohes AnsehenD@rk-€vil™ genießt hohes AnsehenD@rk-€vil™ genießt hohes Ansehen
Standard

jup das wollte ich damit sagen, denn sollte man eh komplet am server machen, also mysql sowie ssh alles andere auch was man so braucht.

und noch nen kleiner tip lasst am besten den ftp server weg, ist eh balasst fürn root ^^. so dies war mal ne kleine hilfe von mir am rande.
__________________

Chaosqueen: Gegen unseren DDos Schutz hat keiner ne Chance.
Ich: Träum mal schön weiter du Naive Person.
D@rk-€vil™ ist offline   Mit Zitat antworten Nach oben
Alt 24.02.2009, 01:06   #30
SP4C3
Erfahrener Benutzer
Punkte: 19.573, Level: 88 Punkte: 19.573, Level: 88 Punkte: 19.573, Level: 88
Levelaufstieg: 45% Levelaufstieg: 45% Levelaufstieg: 45%
Aktivität: 0% Aktivität: 0% Aktivität: 0%
Letzte Erfolge
 
Benutzerbild von SP4C3
 
Registriert seit: 06.12.2008
Ort: /dev
Beitr?ge: 433
Abgegebene Danke: 12
Erhielt 77 Danke für 8 Beiträge
Downloads: 10
Uploads: 0
Nachrichten: 331
Renommee-Modifikator:
791 SP4C3 genießt hohes AnsehenSP4C3 genießt hohes AnsehenSP4C3 genießt hohes AnsehenSP4C3 genießt hohes AnsehenSP4C3 genießt hohes AnsehenSP4C3 genießt hohes AnsehenSP4C3 genießt hohes AnsehenSP4C3 genießt hohes AnsehenSP4C3 genießt hohes AnsehenSP4C3 genießt hohes AnsehenSP4C3 genießt hohes Ansehen
Standard

Ich schmeiß auch nochmal meinen Senf dazu.

Phpmyadmin braucht man NUR wenn man häufige Änderungen an der Datenbank macht, bzw. viele User auf dem Server hat, die mit ihren Datenbanken spielen sollen. Stichwort shared Hosting.
Also auf einem Trackerserver definitiv nicht.

Hier reicht es, den phpmyadmin zu kicken, den root user zu ersetzen, und die Source NICHT mit mysql-root Rechten laufen zu lassen.
Dann noch den mysqld nur auf lokalhost lauschen lassen, und unnützen Schwachsinn wie Plesk und Co garnicht erst installieren.
SP4C3 ist offline   Mit Zitat antworten Nach oben
Antwort

Stichworte
benutzer, eingeschränkt, mysql-benutzer, mysql-sicherheit, phpmyadmin, sicherheit


Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, G?ste: 1)
 

Forumregeln
Es ist Ihnen nicht erlaubt, neue Themen zu verfassen.
Es ist Ihnen nicht erlaubt, auf Beitr?ge zu antworten.
Es ist Ihnen nicht erlaubt, Anh?nge hochzuladen.
Es ist Ihnen nicht erlaubt, Ihre Beitr?ge zu bearbeiten.

BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus.

Gehe zu

?hnliche Themen
Thema Autor Forum Antworten Letzter Beitrag
MySQL Server Problem mcseeder Webserver 5 02.05.2008 20:53
MySQL-Server neu starten Cerberus Betriebssysteme 0 10.03.2008 17:04


Alle Zeitangaben in WEZ +1. Es ist jetzt 09:32 Uhr.


Powered by vBulletin® Version 3.8.9 (Deutsch)
Copyright ©2000 - 2024, vBulletin Solutions, Inc.
Template-Modifikationen durch TMS