Просмотров: 6072

MySQL: Безопасность и аудит. Часть 3


Продолжаем начатый ранее разговор.

Необходимость гибкого управления существующими аккаунтами при повседневном администрировании действительно велика, и в MySQL это ещё одно узкое место.

MySQL ЬнЫЙД ,tpjgfcyjcnm Безопасность security защита рецепты решения укрепление Securich Openark Kit хакеры взлом роли SQL база данных СУБД мускул запрос инекция sql injection блокировка пользователи

Управление аккаунтами

Например, здесь вы можете выдать через GRANT привилегию USAGE , но никогда не сможете сделать REVOKE для неё. В рамках MySQL выполнение REVOKE USAGE полностью эквивалентно выполнению команды DROP USER . Поэтому сам факт существования аккаунта в MySQL позволяет его обладателю безусловно подключаться к базе — здесь не существует встроенной функциональности аналогичной гипотетической команде:

GRANT/REVOKE login ON *.*

В силу этого в пакет Openark Kit включена специализированная утилита oak-block-account с удобной возможностью временного блокирования/разблокирования аккаунта пользователя, которая может применяться в следующих наиболее очевидных случаях:

  • Автоматически блокировать аккаунт в случае нескольких последовательных попыток ввода неправильных паролей (вероятность попытки подбора пароля).
  • При неоплаченном использовании БД, когда сразу удалять учетную запись было бы неправильным.
  • По запросу от пользователя и любой необходимости «временной заморозки» аккаунта, например, при поступлении жалобы на сайт пользователя.
  • Временно отключать привилегированных пользователей организации, пока они находятся в отпуске, на больничных, в декрете или курсах повышения квалификации.

При этом учетная запись со всеми настройками физически остается в базе СУБД, но для неё устанавливается новый технический пароль, а все текущие соединения сбрасываются, поэтому вновь подключиться к сервису он не сможет. Естественно, когда вопрос с пользователем решен, старый пароль будет автоматически восстановлен, с помощью этой утилиты можно получить полный список подобных «временно замороженных» аккаунтов в системе.

Вот примеры вызова oak-block-account :

// заморозить пользователя mag@samag.ru
oak-block-account --block --aсcount--defaults-file=nt-user=mag --account-host=samag.ru
// снова активировать этого пользователя
oak-block-account --release --account-user=mag --account-host=samag.ru
// временно отключить логин пользователя mag на любых хостах и сбросить все
// его активные подключения к БД
oak-block-account --block --account-user=mag --kill

Здесь значение основных опций --block и --release очевидно — заблокировать и разблокировать пользователя соответственно. Более подробно утилита описана в официальной документации.

mysql.com: работа над ошибками
Я думаю, никто не будет спорить, что учиться лучше на чужих ошибках. И будет гораздо наглядней, если в статье о безопасности MySQL рассмотреть пример самих разработчиков этой СУБД. В прошедшем 2011 году сайт mysql.com взламывался уже трижды, в образовательных целях приведем список уязвимостей, приведших к его первому мартовскому взлому (похищено содержание баз данных, включавших информацию о всех клиентах и сотрудниках компании):

  • недостаточная изолированность и качество используемых веб-приложений, что привело к успешной «слепой» SQL-инъекции и многоуровневой XSS-атаке
  • устаревшее, давно не обновляемое серверное ПО, имеющее множество давно закрытых уязвимостей
  • избыточный набор привилегий у рядовых пользователей БД
  • свободный доступ к СУБД из внешних сетей с привилегией root
  • часть паролей удалось быстро восстановить методом перебора (brute force), так как для их хранения использовался DES-хэш (кстати, этот устаревший блочный шифр был разработан ещё в 1972 году прошлого века)
  • исключительная простота некоторых паролей. Например, привилегированные пользователи с логинами «sys» и «sysadm» имели пароли «phorum5» и «qa» соответственно. Один из руководителей высшего звена MySQL имел пароль «2228» (как оказалось впоследствии, эти цифры — номер пин-кода его пластиковой карты).
  • низкая оперативность и организованность обслуживающего персонала: XSS-уязвимости оставались открытыми ещё 2 месяца после их обнаружения. Некоторые администраторы mysql.com даже не знали контакты друг друга, при этом администрируя одни и те же ресурсы

Читать этот материал дальше. Оглавление и начало этой серии статей — здесь.

Игорь Савчук ©  Системный Администратор, 2012
twitter.com facebook.com vkontakte.ru odnoklassniki.ru mail.ru ya.ru pikabu.ru blogger.com liveinternet.ru livejournal.ru google.com bobrdobr.ru yandex.ru del.icio.us

Подписка на обновления блога → через RSS, на e-mail, через Twitter
Теги: , , ,
Эта запись опубликована: Понедельник, 28 мая 2012 в рубрике Unix'овое.

7 комментариев

Следите за комментариями по RSS
  1. ????? ??? ? ????? ??? ?? ?? ???? ????? ?? ???? ??? ????, ??? ?? ?? ??? ?????.

    https://audiojungle.net/item/christmas-piano/19056234

  2. >>> Want to buy with Discount? CLICK HERE!

  3. [url=http://totalworldstore.com/shop/go.php?sid=1] [u][b]>>> Want to buy with Discount? CLICK HERE!

  4. Visitors to Spa can find many questionnaires lady of any age and nationality performing thai massage in the city Downtown.

    Girls are able not only to give pleasure in this way, but also to the strong semi-gentlemen. Girls perform happy ending a massage that will produce a Strong gender a vivid impression.

    Prices for erotic massage depends on qualification Masseuses and the skills that she possesses. Before making a choice, carefully study the prices for services and customer feedback about the work of one or another masseur specialist. We are sure that the search for a real professional masseur will be crowned with success and you will be satisfied with the quality of our services. Ladies are skilled workers in their field and they will help you relax after a hard day.

    Our Spa Downtown. : japanese massage

  5. This is may depend from implementation front-rank equipment park,technology,equipment,algorithm,cleaning,methods,equipment,components,mechanisms and industrial equipment, specialized detergents and cleaning funds and also beautiful organization work cleaning service.

    In our world use support Cleaning firms made necessarily authoritative and relevant.

    Some enterprises and organizations Partnership long for a time enjoy help with cleaning companies, but not conclude personal frames swabber for such types of services as Cleaning a private house and Bathroom cleaning in TriBeca .

    Long-term practice General Partnership in Chinatown & Little Italy owner specialized company is STEPHEN WILLIAMS, revealed that hired trained staff cleaning firms produce cleaning well faster, neater, scrupulous and cleaner, than for example own regular cleaners.

    You will be spared from wasting time on training and recruitment frames , on check his work, you it will not be necessary to allocate room for cleaners and organize storage inventory.

    We Limited liability Limited Partnership is that is on the street Douglaston invite you personally work with uson profitable conditions.

    Any Economist Proves You contain Multiple workman at a loss in collation with employ foreign cleaning service.

    maid for you cleaning service - service cleaning company

  6. This is may depend from implementation front-rank equipment park,technology,equipment,algorithm,cleaning,methods,equipment,components,mechanisms and industrial equipment, specialized detergents and cleaning funds and also beautiful organization work cleaning service.

    In our world use support Cleaning firms made necessarily authoritative and relevant.

    Some enterprises and organizations Partnership long for a time enjoy help with cleaning companies, but not conclude personal frames swabber for such types of services as Cleaning a private house and Bathroom cleaning in TriBeca .

    Long-term practice General Partnership in Chinatown & Little Italy owner specialized company is STEPHEN WILLIAMS, revealed that hired trained staff cleaning firms produce cleaning well faster, neater, scrupulous and cleaner, than for example own regular cleaners.

    You will be spared from wasting time on training and recruitment frames , on check his work, you it will not be necessary to allocate room for cleaners and organize storage inventory.

    We Limited liability Limited Partnership is that is on the street Douglaston invite you personally work with uson profitable conditions.

    Any Economist Proves You contain Multiple workman at a loss in collation with employ foreign cleaning service.

    cleaning services : [url=https://cleanings.pro]weekend house cleaning services[/url]

  7. искал информацию в сети, пока вдруг не обнаружил вот этот сайт prom electric

    Для моих знакомых эта информация оказалась очень полезной.

    Всем удачи