如果别人知道我的 mysql 用户名和密码,能够入侵我的服务器吗?

2018-11-15 09:59:25 +08:00
 xianxiaobo

我有时候传代码会把 jdbc.properties 传上去。。。你们都是怎么做的呢

9562 次点击
所在节点    Linux
38 条回复
KingEngine
2018-11-15 10:10:19 +08:00
既然发现了问题,为什么不首先想到改密码?而是在 v2 发个帖?
xianxiaobo
2018-11-15 10:16:28 +08:00
@KingEngine 改密码肯定会啊,只是很好奇这种问题能造成多大的伤害,以及大家都是怎么做的。
find456789
2018-11-15 10:18:51 +08:00
mysql 设置白名单 ip, 只允许 服务器 ip 访问, 这样安全性就会提升很多

, 如果你 mysql 谁都可以链接, 然后密码还暴露了, 人家拿到密码,你的所有数据都暴露无遗了
GoLand
2018-11-15 10:19:33 +08:00
你的 MySQL 是外网也能访问吗......通常这种服务基础服务都是只有集群内网才能访问啊。
cat9life
2018-11-15 10:20:54 +08:00
没有 block 外网访问的话肯定死翘翘啊,或者正好你们内网早就被人入侵过但是苦于无法提权,你这正还给了一个突破口。
markgor
2018-11-15 10:21:00 +08:00
那要看 mysql 的权限,还有 mysql 账户的权限
如果 mysql 是用 root 运行的,然后 mysql 账号也有 load_file 或 outfile 的话,那基本都能入侵你服务器
xianxiaobo
2018-11-15 10:21:21 +08:00
@GoLand 个人服务器,刚开始学 java,mysql
xianxiaobo
2018-11-15 10:22:33 +08:00
@markgor 懂了,谢谢大佬
markgor
2018-11-15 10:25:06 +08:00
正常做法:
mysql 创建独立的系统账号,严格控制权限体系,根据业务需求对指定的文件给予读写或只读权限。
mysql 内部的账号也做好权限划分,只给予业务所需的功能权限。

通过设定白名单,只允许本地访问或指定的 ip 链接(业务机器 ip 和堡垒机 ip )进行访问
mysql 整台机禁止外网连接
增加数据审核功能( mysql 有相关的插件,不过性能一般)

上面做法也是等保要求 3 级的做法
gaius
2018-11-15 10:26:02 +08:00
不要传服务器配置文件到公网
MaxLv
2018-11-15 10:30:21 +08:00
看权限 能写文件的话就直接写 shell 了
fumichael
2018-11-15 10:36:03 +08:00
我前不久也想过这个问题,参照下面链接
https://www.v2ex.com/t/74245
passerbytiny
2018-11-15 10:37:13 +08:00
你这不是废话吗

@find456789 #3
@GoLand #4
@markgor #6
他连配置文件不上传都不知道,这么高深的东西更不可能懂
ClutchBear
2018-11-15 10:37:36 +08:00
设置禁止远程登录就是了.
只允许内网 ip 登录
zhuawadao
2018-11-15 10:37:52 +08:00
拔网线啊
markgor
2018-11-15 10:42:21 +08:00
@zhuawadao 哈哈,按文件要求的确是这样
如果有重要事件发生,必须第一时间切断物理上的连接,
然后报警,
再检查日志和数据的完整。
msg7086
2018-11-15 10:44:42 +08:00
有很多情况需要检查。比如,
你 MySQL 监听外网了吗。
你 MySQL 运行在 root 上了吗。
你泄露的账号密码是全球都可以登录的吗。
你防火墙开了吗。
等等,各种。不同的设置造成的后果严重性也各不相同。
SimonFu
2018-11-15 10:52:51 +08:00
上一家公司运维为了省事儿,
服务器 mysql 直接暴露公网,
而且还是 root 用户可以直接访问,
密码用的 enpass 随机生成的 32 位字符串不知可不可行。。。。
(针对业务系统,还是做了数据库用户的权限区分限制的,localhost 访问。)
nutting
2018-11-15 11:17:24 +08:00
微软的 sql server 可以,上大学时候机房默认装着,弱密码,可以用工具装木马
sonyxperia
2018-11-15 11:19:25 +08:00
那相当于把服务器地址也暴露了吧,如果数据库和 tomcat 在同一台机子

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/508016

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX