Sicherheitsproblem ?

Wh1sper

Member
ACHTUNG!
Mir ist heute aufgefallen, das es einen passwortlosen user mit root rechten in mysql gibt. Ich hoffe, das es ein Einzelfall ist, aber ein Freund hat nach einer recht frischen Installation auch einen passwortlosen root user in mysql.
Also bitte einfach mit z.B. phpmyadmin nach auf Rechte klicken.
Bei mir war ein root user, Host xxxx, wobei xxxx mein erster gewählter Hostname war ohne Passwort eingerichtet.
Ich kann jetzt nicht 100% nachvollziehen, bei welchem Schritt er angelegt worden ist, aber das es bei der Kochbuchinstallation passiert sein muß, scheint sicher.
 

Till

Administrator
Es gibt immer zwei root User ohne Passwort, wenn Du MySQL neu installierst. Das hat erstmal nichts mit ISPConfig zu tun. Du musst grundsätzlich die Passworte für beide User ändern.

Das ist auch in den offiziellen ISPConfig Installationsanleitungen (perfect setup / perfect server howtos), die auf www.ispconfig.de und www.ispconfig.org verlinkt sind, beschrieben.

Siehe z.B.:

http://www.howtoforge.de/howto/das-perfekte-setup-debian-etch-40/4/

Schritt 10:

Code:
mysqladmin -u root password yourrootsqlpassword
mysqladmin -h server1.example.com -u root password yourrootsqlpassword

Der erste Befehl ändert den root user account für localhost und der 2. Befehl ändert ihn für den Hostnamen des Servers. Es ist wichtig, dass Du die Anleitungen immer exakt befolgst und keine Befehle ausläßt.
 

Wh1sper

Member
HHm mag sein, das ich den zweiten Befehl übergangen habe, aber unwahrscheinlich, weil ich halt von einer zweiten Installation weiß, bei dem es auch war.
Konkret ist bei mir 3306 gesperrt, so das mysql nur für lokale Nutzer erreichbar ist und somit der user gar nicht nutzbar war.
Vielleicht trägt mein Beitrag dazu bei, das jeder Admin ab- und an mal ein Blick auf seine mysql user wirft, schaden tut das nicht :)
 

Werbung

Top