¿Contraseña generada aleatoriamente para el administrador MySQL con el tiempo?
https://dba.stackexchange.com/questions/12640
-
16-10-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianPregunta
Tengo la idea de hacer que la cuenta de administración de mi base de datos se asegure creando lo siguiente:
- El activador se activa cada hora en MySQL Este desencadenante activa un procedimiento almacenado
- El procedimiento almacenado genera una nueva contraseña utilizando MD5 (date ()+Prequistado clave+rand ()))
- Tengo una aplicación en VB que genera la misma contraseña cada hora con la que puedo iniciar sesión.
Sin embargo, esto sigue siendo solo una idea y no sé si esto es posible, ¿sabes si alguien ha intentado esto?
Cualquier enlace o material de referencia.
Me inspiró mi amigo que tiene una llave que se genera en un pequeño dispositivo que se cuelga alrededor de su cuello cuando inicia sesión en una estación de trabajo, ¿alguien sabe cómo se llama este procedimiento de seguridad?
¿Cuáles son las limitaciones o problemas que podrían ocurrir? (bloqueo/reinicio del servidor)
¡Gracias!
Solución
Por qué querrías hacer esto? ¿Qué riesgo mitiga?
Esto suena como una excelente manera de encerrarse de su base de datos de una manera que requiere tiempo de inactividad para recuperarse. Limite su exposición asegurando los servidores con firewalls y SSH y mantenga simple la autenticación de MySQL. Si le preocupa los ataques de fuerza bruta dentro de su red confiable, establezca max_connect_errors en un valor bajo para que el host remoto se bloquee. Y no use "raíz" como su usuario root. Deshabilite esa cuenta y cree un nuevo súper usuario con un nombre diferente.
Ese dispositivo que su amigo probablemente fue construido por RSA y es un Sesurido Etiqueta que utiliza autenticación de dos factores para asegurar las estaciones de trabajo. Se incorporó una enorme cantidad de I + D en ese producto. Su script VB no tendrá ese lujo.
En pocas palabras, la autenticación MySQL no se endurece lo suficiente como para garantizar este tipo de infraestructura. Un atacante que vale su sal provisto de acceso a un puerto MySQL abierto buscará hazañas más generales en lugar de perder el tiempo de forzamiento bruto.
Justo en la parte superior de mi cabeza, algunos de los problemas con esto:
¿Qué sucede si tus relojes se bajan por un minuto o dos? ¿Qué pasa si el trabajo o el activador falla? ¿Cómo sabe en qué estado está su contraseña de DB? ¿Cómo se genera la misma cadena aleatoria dentro de su script VB y en el servidor? ¿Cómo almacena la contraseña generada de forma segura?
No lo hagas. Invierta su esfuerzo para elegir contraseñas seguras (no L33TSP34K) y bloquear el servidor en sí mismo en lugar de intentar reproducir lo que una empresa con miles de empleados a su disposición ha logrado hacer.
