MySQL默认设置危险分析页面1/2
MySQL服务不安全的默认安装涉及到:A. Mysql默认授权表
两。缺乏日志能力
three.my.ini文件泄露密码
四。服务默认绑定到所有网络接口。
五。默认安装路径下的mysql目录权限
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
A. Mysql默认授权表
由于MySQL的身份验证是基于MySQL数据库的,所以它也被称为授权表。
我们只讨论最重要的表用户表之一,它控制连接的接受或拒绝。
你先看看吧。
选择主机,用户,密码,delete_priv用户;
+ + + + ----------- ------ ------------------ ------------- +
主机用户密码| | | | delete_priv |
+ + + + ----------- ------ ------------------ ------------- +
本地的根67457e226a1a15bd | | | | Y |
| % |根| | Y |
| localhost | | | Y |
| % | | | N |
+ + + + ----------- ------ ------------------ ------------- +
现在,安装后的新版本将有一个快速设置窗口来设置密码。
以上是用户表的内容(一点点),看看有什么问题
我们知道MySQL验证的方式更为特殊,基于两个2信息。
1。从那里
2。用户名
第一个与密码无关,当然,密码必须是安全的。
来自任何主机的第二个,带有用户根,可以不带密码连接,权限是所有权限(注意:这里的权限是全局的)。
第三是来自本地主机,任何用户名(注意:用户是空白的,不表示没有用户名),没有密码是必需的,所有的连接都可以连接。
第四来自任何主机,任何用户名,没有密码,可以连接,没有任何权限。
如您所见,2 3 4不安全,这里如何攻击并不表示,请参阅信息库。
如果你的MySQL只允许本地连接,删除主机为用户(表示空)空
从主机=%的用户中删除;
从主机中删除用户=;
最后一个用户表看起来是这样的。
+ + + + ----------- ------ ------------------ ------------- +
主机用户密码| | | | delete_priv |
+ + + + ----------- ------ ------------------ ------------- +
本地的根67457e226a1a15bd | | | | Y |
+ + + + ----------- ------ ------------------ ------------- +
最后,您需要刷新授权表立即生效。
同花顺的特权;
如果需要远程使用MySQL,则需要在%1节的根帐户中添加安全密码。
更新用户设置密码,密码('youpass)主机=%;
和你逝去的,密码
MySQL >选择主机,用户,密码,delete_priv用户;
+ + + + ----------- ------ ------------------ ------------- +
主机用户密码| | | | delete_priv |
+ + + + ----------- ------ ------------------ ------------- +
本地的根67457e226a1a15bd | | | | Y |
| % |根| 77c590fa148bc9fb | Y |
+ + + + ----------- ------ ------------------ ------------- +