Случайно сгенерированный пароль для администратора MySQL с течением времени?
https://dba.stackexchange.com/questions/12640
-
16-10-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianВопрос
У меня есть идея сделать учетную запись администратора моей базы данных, создав следующее:
- Триггер активируется каждый час в MySQL Этот триггер активирует хранимую процедуру
- Хранящаяся процедура генерирует новый пароль с использованием md5 (date ()+pre shared key+rand ())
- У меня есть приложение в VB, которое генерирует один и тот же пароль каждый час, в который я могу входить в систему.
Однако это все еще просто идея, и я не знаю, возможно ли это, знаете ли вы, если кто -нибудь попробовал это?
Любые ссылки или справочный материал.
Меня вдохновил мой друг, у которого есть ключ, который генерируется в маленьком устройстве, который он висит на шее, когда он входит в рабочую станцию, кто -нибудь знает, как называется эта процедура безопасности?
Каковы ограничения или проблемы, которые могут возникнуть? (сбой/перезапуск сервера)
Спасибо!
Решение
Зачем тебе это делать? Какой риск это смягчает?
Это звучит как отличный способ заблокировать себя из вашей базы данных таким образом, чтобы потребовалось время простоя для восстановления. Ограничьте свою экспозицию, закрепляя серверы брандмауэрами и SSH и сохраните аутентификацию MySQL простой. Если вы беспокоитесь о атаках грубой силы из вашей доверенной сети, установите MAX_CONNECT_ERRORS на низкое значение, чтобы удаленный хост был заблокирован. И не используйте «root» в качестве вашего корневого пользователя. Отключите эту учетную запись и создайте нового суперпользователя с другим именем.
Это устройство, которое есть у вашего друга, было, вероятно, построено RSA и Секурид тег, который использует двухфакторную аутентификацию для защиты рабочих станций. В этом продукте было встроено огромное количество исследований и разработок. Ваш сценарий VB не будет иметь такой роскоши.
Проще говоря, аутентификация MySQL недостаточно закалена, чтобы оправдать этот тип инфраструктуры. Злоумышленник, достойный доступа к доступу к открытому порту MySQL, будет искать больше общих подвигов, а не тратить время на грубое принуждение.
Под макушкой моей головы некоторые проблемы с этим:
Что произойдет, если ваши часы сойдут на минуту или две? Что, если работа или триггер не удастся? Как узнать, в каком состоянии находится ваш пароль DB. Как вы генерируете ту же случайную строку в своем сценарии VB и на сервере? Как надежно хранить сгенерированный пароль?
Не делай этого. Вложит свои усилия в выбор прочных паролей (не L33TSP34K) и записать сам сервер, а не пытаться воспроизвести то, что смогла сделать компания с тысячами сотрудников.
