Casualmente generato password per MySQL admin nel corso del tempo?
https://dba.stackexchange.com/questions/12640
-
16-10-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianDomanda
Ho questa idea di fare account Admin di mio database protetto creando il seguente:
- trigger viene attivato ogni ora in mysql questo trigger attiva una stored procedure
- stored procedure genera una nuova password utilizzando md5 (data () + pre condiviso + rand tasto ())
- Ho un'applicazione in VB che genera la stessa password ogni ora che posso quindi accedere con.
Tuttavia, questo è ancora solo un'idea e non so se questo è possibile, si può sapere se qualcuno ha provato questo?
Tutti i link o riferimenti materiali.
I è stato ispirato da un mio amico che ha una chiave che viene generata in una piccola cosa dispositivo che appende al collo quando si accede in una workstation, qualcuno sa che cosa la procedura questa sicurezza si chiama?
Quali sono le limitazioni o problemi che potrebbero verificarsi? (Crash del server / restart)
Grazie!
Soluzione
Perché si vuole fare questo? Che rischio vuol mitigare?
Questo suona come un ottimo modo per chiudersi fuori del database in un modo che richiede downtime per recuperare. Limitare l'esposizione, garantendo i server con firewall e SSH e mantenere MySQL autenticazione semplice. Se siete preoccupati per gli attacchi di forza bruta dall'interno della rete di fiducia, max_connect_errors impostati su un valore basso in modo l'host remoto avranno bloccato. E non usare "root" come utente root. Disabilitare l'account e creare un nuovo super utente con un nome diverso.
Tale dispositivo che il tuo amico è stato probabilmente costruito da RSA ed è un SecurID tag che utilizza due l'autenticazione -factor alle workstation sicure. Una quantità enorme di R & S è stata costruita in quel prodotto. Lo script VB non avrà questo lusso.
Molto semplicemente, l'autenticazione MySQL non è indurito abbastanza da giustificare questo tipo di infrastrutture. Un degno attaccante si rispetti ha accesso ad una porta aperta di MySQL sta andando a cercare exploit più generali, piuttosto che perdere tempo bruta forzatura.
Appena fuori dalla parte superiore della mia testa, alcuni dei problemi con questo:
Che cosa succede se i vostri orologi scendere da un minuto o due? Che cosa succede se il lavoro o il trigger non riesce? Come fai a sapere che cosa dichiarare la password DB è in. Come si fa a generare la stessa stringa casuale all'interno dello script VB e sul server? Come si fa a memorizzare la password generata in modo sicuro?
Non fatelo. Investire il vostro sforzo nel raccogliere password complesse (non l33tsp34k) e bloccando il server stesso, piuttosto che tentare di riprodurre ciò che una società con migliaia di dipendenti a loro disposizione è riuscito a fare.
