Sicherheitsproblem ?

Dieses Thema im Forum "Allgemein" wurde erstellt von Wh1sper, 23. Jan. 2008.

  1. Wh1sper

    Wh1sper Member

    ACHTUNG!
    Mir ist heute aufgefallen, das es einen passwortlosen user mit root rechten in mysql gibt. Ich hoffe, das es ein Einzelfall ist, aber ein Freund hat nach einer recht frischen Installation auch einen passwortlosen root user in mysql.
    Also bitte einfach mit z.B. phpmyadmin nach auf Rechte klicken.
    Bei mir war ein root user, Host xxxx, wobei xxxx mein erster gewählter Hostname war ohne Passwort eingerichtet.
    Ich kann jetzt nicht 100% nachvollziehen, bei welchem Schritt er angelegt worden ist, aber das es bei der Kochbuchinstallation passiert sein muß, scheint sicher.
     
  2. Till

    Till Administrator

    Es gibt immer zwei root User ohne Passwort, wenn Du MySQL neu installierst. Das hat erstmal nichts mit ISPConfig zu tun. Du musst grundsätzlich die Passworte für beide User ändern.

    Das ist auch in den offiziellen ISPConfig Installationsanleitungen (perfect setup / perfect server howtos), die auf www.ispconfig.de und www.ispconfig.org verlinkt sind, beschrieben.

    Siehe z.B.:

    http://www.howtoforge.de/howto/das-perfekte-setup-debian-etch-40/4/

    Schritt 10:

    Code:
    mysqladmin -u root password yourrootsqlpassword
    mysqladmin -h server1.example.com -u root password yourrootsqlpassword
    Der erste Befehl ändert den root user account für localhost und der 2. Befehl ändert ihn für den Hostnamen des Servers. Es ist wichtig, dass Du die Anleitungen immer exakt befolgst und keine Befehle ausläßt.
     
  3. Wh1sper

    Wh1sper Member

    HHm mag sein, das ich den zweiten Befehl übergangen habe, aber unwahrscheinlich, weil ich halt von einer zweiten Installation weiß, bei dem es auch war.
    Konkret ist bei mir 3306 gesperrt, so das mysql nur für lokale Nutzer erreichbar ist und somit der user gar nicht nutzbar war.
    Vielleicht trägt mein Beitrag dazu bei, das jeder Admin ab- und an mal ein Blick auf seine mysql user wirft, schaden tut das nicht :)
     

Diese Seite empfehlen