Beveiliging van mysql-users

Door silverstorm op donderdag 26 februari 2009 18:10 - Reacties (6)
Categorie: Beveiliging, Views: 3.713

Tijdens update-werkzaamheden moest ik een kleine table-update doen in een productie omgeving. Ik logde mijzelf in op de phpmyadmin en dacht laat ik meteen mijn wachtwoord even wijzigen. Op de "rechten"-pagina geeft phpmyadmin aan of er voor de users ook wachtwoorden zijn ingesteld.

Ik schrok toen ik zag dat er voor de user "admin" geen wachtwoord was ingesteld. Natuurlijk heeft deze user wel alle rechten. Na mijn update-werkzaamheden maar eens gekeken naar de mysql-users. Binnen een paar minuten had ik een mooie query:

MySQL:
1
2
3
4
5
6
7
USE mysql;
SELECT Host , User 
FROM user 
WHERE Password NOT LIKE '*%' 
OR Host = '%' 
OR Password = password( User ) 
OR Password = old_password( User );


Hier worden alle users met host weergegeven waar geen wachtwoord is ingesteld of het wachtwoord hetzelfde is als de username.

De schade viel mee: 2 extra accounts, waar iets niet aanklopte. Vandaag zijn de applicatieconfiguratie's aangepast, zodat er het toch iets veiliger is.

Reacties


Door Tweakers user Blokker_1999, donderdag 26 februari 2009 18:37

Zelfs voor men eigen hobby projectjes heeft elke user een pass staan, hoe moeilijk kan het zijn?

Door Tweakers user LuckY, donderdag 26 februari 2009 19:10

:+

Is het niet mogelijk dit af te vangen?

Door Tweakers user siepeltjuh, donderdag 26 februari 2009 19:24

als de root maar een wachtwoord heeft boeit de rest toch niet :X

Door Tweakers user Floppus, donderdag 26 februari 2009 19:28

Het lijkt me sowieso nogal specifiek dat je users direct toegang wil geven op je MySQL database. Meestal zit er wel een (web) frontend aan die de gegeven presenteert en wordt de security daar afgehandeld. Toegang tot de mysql server is dan beperkt tot localhost.

Wat voor noodzaak is er bij jullie om vanaf andere machines direct in de database te komen? (Voor beheer kan je gewoon de machine overnemen, of betreffende beheer-IP's toegang verschaffen).

Door Tweakers user silverstorm, donderdag 26 februari 2009 19:41

Gelukkig is het niet mijn werk. Maar goed ik denk dat er wel meer van deze situaties zijn. Je mag blij zijn dat je het ziet voordat er iets ergs meegebeurd.

Door Tweakers user Exterazzo, donderdag 26 februari 2009 20:09

In je bovenstaande query laat je ook gebruikers zien die wel een wachtwoord hebben, maar die vanaf elke host kunnen verbinden :)

Reageren is niet meer mogelijk