Privilégios de SQL recomendados para usuários do MySQL para CMS
https://stackoverflow.com/questions/1650780
-
22-07-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianPergunta
Tenho feito experiências com um monte de aplicativos de desenvolvimento web como Drupal, Moodle, eFront e Elgg recentemente. Para melhor segurança, eu corro servidores de teste em uma configuração XAMPP em uma máquina XP virtual dentro do Mac OS X 10.4, usando o Parallels. Eu acho que isso deve ser bastante segura, certo?
Ao instalar o software como Elgg, ele me pede para criar um usuário no servidor MySQL para que possa acessar o banco de dados. Eu quero saber se meu método de criação de um novo usuário está correto e que permissões eu deveria conceder esse usuário.
Atualmente, eu criar novos usuários por entrar em PHPMyAdmin, o banco de dados MySQL, tabela de usuário, e inserindo uma nova linha. Isso é correto? Por alguma razão, não é sempre trabalhando.
PS -? Devo preocupar com tudo isso, ou apenas deixar que cada software usar minha conta root
Solução
Os privilégios de usuário MySQL que você usa é muito importante e pode impedi-lo de ser hackeado. Você deve seguir um sistema de acesso mínimo privilégio.
Para adicionar um usuário no PHPMyAdmin: 1) início de sessão como raiz 2) vá para a guia Privilégios 3) Clique em "Adicionar um novo usuário."
grupos phpMyAdmin os privilégios MySQL como dados, Estrutura e Administração.
Os privilégios "Administração" deve ser desativada para uma aplicação web, somente o root deve ter esse acesso. Nenhum dos privilégios de "Administração" pode ser usado em um SQL Injection explorar, a menos que o aplicativo permite empilhamento consulta. (A maioria não permitir que isso!)
Durante a instalação de uma aplicação web os privilégios "estrutura" são necessários para construir o banco de dados, no entanto, estes quase nunca são necessários durante a operação do aplicativo web, para que eles possam ser desligados.
A seção "Dados" é complicado. Os privilégios "Arquivo" é o privilégio mais perigoso você poderia dar uma aplicação web. A razão é porque ele permite que um hacker de usar uma vulnerabilidade de injeção SQL para ler e arquivos de gravação no seu servidor. acesso "FILE" é o único privilégio que poderia dar a um atacante remoto a execução de código (RCE), e deve ser sempre desativado.
Por último, mas não menos importante, Apache Friends XAMPP é software terrível. existem vulnerabilidades conhecidas e ter ido sem correção por quase um ano. Recomecei usando a instalação LAMP do Ubuntu, é ao mesmo tempo fácil de usar e seguro.
Outras dicas
Se você inserir linhas diretamente em para a tabela de usuário, então você tem que clicar sobre o FLUSH PRIVILEGES link na página de privilégios para forçar o MySQL a olhar para a tabela de usuários novamente.
a melhor maneira é usar a página privilégios em phpMyAdmin para configurar novos usuários. para chegar lá, clique no logotipo casa no topo da coluna da esquerda. em seguida, no lado direito da tela, clique no link para privilégios.
e você deve definitivamente não deixe que o seu software é só usar a conta root. você deve ser a criação de um usuário para cada aplicação com o mais permissões restritivas possíveis.
