সুরক্ষিত মাইএসকিউএল 'রুট' @ 'লোকালহোস্ট' অ্যাকাউন্টটি দূর থেকে অ্যাক্সেস করা হয়েছে?

কিছুটা ব্যাকগ্রাউন্ড: আমাদের সবেমাত্র আমাদের পিবিএক্স সিস্টেমটি হ্যাক হয়ে গেছে। সার্ভারটি নিজেই সুরক্ষিত বলে মনে হচ্ছে (কোনও লগ অননুমোদিত কনসোল অ্যাক্সেস নেই - এসএসএইচ ইত্যাদি) তবে হ্যাকাররা কোনওভাবে নতুন অ্যাডমিন ব্যবহারকারীকে পিবিএক্স সফ্টওয়্যার (মাইএসকিউএল দ্বারা সমর্থিত ফ্রিপিবিএক্স) ইনজেক্ট করতে সক্ষম হয়েছে। অ্যাপাচি লগগুলি সূচিত করে যে হ্যাকাররা ওয়েব ইন্টারফেস (বা ওয়েব ইন্টারফেসে কোনও শোষণ) ব্যবহার না করেই ব্যবহারকারীকে যুক্ত করতে সক্ষম হয়েছিল।

এখন, আমি আবিষ্কার করেছি যে মাইএসকিউএল কোনও রুট পাসওয়ার্ড ছাড়াই চলছিল (!!) এবং খোলামেলাভাবে বাহ্যিক আইপি ঠিকানার সাথে আবদ্ধ (অবশ্যই, আমি এখন এটি লক করে রেখেছি)। যাইহোক, মাইএসকিউএল একমাত্র তৃণমূল পর্যায়ে ব্যবহারকারী ছিল 'root'@'localhost'এবং 'root'@'127.0.0.1', এই দুই ধরনের শুধুমাত্র স্থানীয়ভাবে প্রবেশযোগ্য হওয়া উচিত ছিল।

তাই আমার প্রশ্ন হল এটি:

মাইএসকিউএলে কোনও সংযোগ ফাঁকি দেওয়ার কোনও উপায় রয়েছে যাতে এটি স্থানীয়ভাবে অন্য কোনও শোষণ চালানো ছাড়া কোনও দূরবর্তী আইপি ঠিকানা থেকে 'রুট' @ 'লোকালহোস্ট' ব্যবহারকারীর সাথে সংযোগের অনুমতি দেবে?

রেফারেন্সের জন্য, বাক্সটি মাইএসকিএল 5.0.95 চলমান সেন্টোস 5 (লিনাক্স 2.6.10)।

না।

আপনি যদি স্থানীয় সিস্টেম থেকে না আসেন তবে মাইএসকিউএল কখনই localhostবা 127.0.0.1হোস্টের স্পেসিফিকেশন সহ কোনও ব্যবহারকারীর সাথে আপনাকে লগ ইন করবে না । নোট করুন যে এটিতে অ্যাথথ বাইপাস দুর্বলতা, সিভিই 2012-2122; পাসওয়ার্ড তুলনা চালাকি করা যেতে পারে, কিন্তু হোস্ট তুলনা হয় না।

উত্স হোস্ট চেকিংয়ের "কৌশল" ছদ্মবেশের জন্য আপনাকে সিস্টেমে কিছু দরকার। Phpmyadmin এর মতো কিছু, বা মাইএসকিউএল টিসিপি পোর্টের সামনে চলছে এমন HAProxy এর মতো লোড ব্যালেন্সার মনে পড়ে।

নামটি rootডিফল্ট দ্বারা তৈরি করা হয়েছে এবং এটি খুব সুপরিচিত। আক্ষরিক মান মূলের মাইএসকিউএল সুবিধার্থে সিস্টেমের কোনও তাত্পর্য নেই। সুতরাং ব্যবহারকারীর নামের সাথে চালিয়ে যাওয়ার কোনও প্রয়োজন নেই root।

আপনার rootব্যবহারকারীর নামটি অন্য কোনও ক্ষেত্রে পরিবর্তন করা উচিত যাতে বাইরের বিশ্ব সহজেই এটি সনাক্ত করতে (অনুমান) করতে না পারে, এটি হ্যাকিংয়ের প্রচেষ্টা হ্রাস করবে।

উদাহরণস্বরূপ: আপনার যদি root@ হিসাবে এমন কোনও ব্যবহারকারী থাকে localhostযা সবার কাছে যথেষ্ট পরিচিত তাই হ্যাকাররা এটি সংযোগ দেওয়ার চেষ্টা করবে, ভাল সুরক্ষার জন্য আপনার এটিকে admin_db_name@ এর মতো নির্দিষ্ট কিছুতে পরিবর্তন করা উচিত localhost।

আপনার মাইএসকিউএল সার্ভারের সংযোগ Aborted_connectsজানতে পর্যায়ক্রমে ডাকা একটি স্থিতির পরিবর্তনশীল পর্যবেক্ষণ করুন Refused, এটি Flush status;কমান্ডের পরে 0 হওয়া উচিত এবং এটি আরও বাড়ানো উচিত নয়।

'পরিত্যক্ত_কণিকা' এর মতো স্থিতি দেখান;

কি "কোন অননুমোদিত অ্যাক্সেস লগ" অন্তর্ভুক্ত লগইন attemps ব্যর্থ? যদি তা না হয় তবে এটি সিভিই 2012-2122 হতে পারে ।

[...] মেমক্যাম্প ফাংশনটির নির্দিষ্ট বাস্তবায়নের সাথে নির্দিষ্ট পরিবেশে চলার সময়, (মাইএসকিউএল) একই ভুল পাসওয়ার্ডের সাথে বার বার প্রমাণীকরণের মাধ্যমে দূরবর্তী আক্রমণকারীদের অনুমোদনকে বাইপাস করতে দেয়, যা অবশেষে একটি ভুলভাবে পরীক্ষিত কারণে টোকেন তুলনা সফল হওয়ার কারণ হয়ে দাঁড়ায় succeed ফেরত মূল্য.