Mysql默許設置的風險性剖析第1/2頁。本站提示廣大學習愛好者:(Mysql默許設置的風險性剖析第1/2頁)文章只能為提供參考,不一定能成為您想要的結果。以下是Mysql默許設置的風險性剖析第1/2頁正文
默許裝置的mysql辦事不平安身分觸及的內容有:
一.mysql默許的受權表
二.缺少日記才能
三.my.ini文件洩漏口令
四.辦事默許被綁定全體的收集接口上
五.默許裝置途徑下的mysql目次權限
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
一.mysql默許的受權表
因為mysql對身份驗證是基於mysql這個數據庫的,也叫受權表。一切的權限設置都在這裡了。
我們只評論辯論最為主要的一個表 user表。它掌握的是接收或謝絕銜接。
先看一下
select host,user,password,Delete_priv from user;
+-----------+------+------------------+-------------+
| host | user | password | Delete_priv |
+-----------+------+------------------+-------------+
| localhost | root | 67457e226a1a15bd | Y |
| % | root | | Y |
| localhost | | | Y |
| % | | | N |
+-----------+------+------------------+-------------+
如今新的版本,裝置終了都邑湧現一個疾速設置窗口,用於設置口令。
以上,就是user內外的內容(略了點)看看有甚麼成績?
我們曉得mysql的驗證方法是比擬特別的,它基於兩個2個信息來停止的
1.從那邊銜接
2.用戶名
第一條沒甚麼成績,固然口令必需是平安的。
第二條從任何主機,以用戶root,不須要口令都可以銜接,權限為一切的權限。(注:這裡的權限是全局權限)
第三條從當地主機,任何用戶名(注:user為空白,不表現不須要用戶名),不須要口令,都可以銜接,一切的權限
第四條從任何主機,任何用戶名,不須要口令,都可以銜接,無任何權限。
可以看出,2\3\4都是不平安的,若何進擊這裡就不說了,請參看材料文庫。
假如你mysql只許可當地銜接,刪除host的%和user中的nul(表現空)
delete from user where host='% ';
delete from host where user=' ';
最初的user表,看起來因該是這個模樣
+-----------+------+------------------+-------------+
| host | user | password | Delete_priv |
+-----------+------+------------------+-------------+
| localhost | root | 67457e226a1a15bd | Y |
+-----------+------+------------------+-------------+
最初須要刷新受權表,使其連忙失效
flush privileges;
假如你的mysql須要被長途應用,須要為%段中的root帳號,加上一個平安的暗碼
update user set password=password(‘youpass‘) where host=‘%‘;
個中youpass,就是口令
mysql> select host,user,password,Delete_priv from user;
+-----------+------+------------------+-------------+
| host | user | password | Delete_priv |
+-----------+------+------------------+-------------+
| localhost | root | 67457e226a1a15bd | Y |
| % | root | 77c590fa148bc9fb | Y |
+-----------+------+------------------+-------------+
以後1/2頁 12下一頁浏覽全文