刚刚在安全审计期间查看了我的 MySQL 用户权限,并注意到大约 20 个 MySQL 用户被创建为随机名称,例如“bug115166_10073”。他们根本没有启用任何权限,我是唯一一个管理数据库的人。
谁能想到这些可能是什么以及它们来自哪里?看到分配给这些用户的权限为零,我认为他们可以安全删除吗?
请立即删除它们!!!
原因如下:匿名用户可以访问前 4 个字母为 的任何数据库test。您可以在测试数据库中执行大量 CRUD 密集型操作。您可能还想将测试数据库重命名为完全不同的名称。请阅读这些链接,因为我之前在 DBA StackExchange 中已经解决了这个问题。
要确认是否需要这样做,请注意MySQL 5.0 Certification Study Guide 在第 498 页第 6 段的要点中所说的内容:
在 Unix 上,MySQL 带有一个 mysql_secure_installation 脚本,它可以在您的安装上执行几个有用的与安全相关的操作。该脚本具有以下功能:
- 为 root 帐户设置密码
- 删除任何可远程访问的 root 帐户。
- 删除匿名用户帐户。这提高了安全性,因为它可以防止任何人以 root 身份从远程主机连接到 MySQL 服务器的可能性。结果是任何想要以 root 身份连接的人都必须首先能够登录服务器主机,这提供了额外的攻击屏障。
- 删除测试数据库(如果删除匿名帐户,您可能还想删除他们有权访问的测试数据库)。
| 归档时间: |
|
| 查看次数: |
3077 次 |
| 最近记录: |