如果别人知道我的 mysql 用户名和密码,能够入侵我的服务器吗?

2018-11-15 09:59:25 +08:00
 xianxiaobo

我有时候传代码会把 jdbc.properties 传上去。。。你们都是怎么做的呢

9534 次点击
所在节点    Linux
38 条回复
LichMscy
2018-11-15 11:30:05 +08:00
1. docker run -e 传入密码
2. 用 jasypt 加密数据库密码
xuextx
2018-11-15 12:00:30 +08:00
LZ 大概想知道的是,知道了 MYSQL,是否能入侵到整台服务器里面把
opengps
2018-11-15 12:10:20 +08:00
不专门研究,真的不敢相信入侵方法多种多样,能达到什么样的入侵效果往往是弱点组合起来的。所以不用多想,各方面努力加强防护吧
licoycn
2018-11-15 12:11:44 +08:00
禁止远程访问 只可以本地访问拿到了也没有用 除非侵入了你的服务器
WordTian
2018-11-15 12:16:01 +08:00
@SimonFu 一旦出现 sql 注入,那服务器基本就沦陷了
tedzhou1221
2018-11-15 14:00:39 +08:00
之前是用连接池工具 druid,带有解密功能。
所以 jdbc.properties 里面的数据库密码信息是密文
chinvo
2018-11-15 14:03:38 +08:00
@SimonFu #18 为啥低权限账号反而做的安全策略更好……
xpresslink
2018-11-15 14:06:55 +08:00
应用和 mysql 跑在同一台服务器时候我都是直接用 unix socket 连接,把所有端口都关闭。
dko
2018-11-15 14:36:16 +08:00
只开 localhost,不要用 root,配个 user 就好了
虽然 user 也可以提权,不过尽可能注意就好了。
martinsu
2018-11-15 15:20:26 +08:00
华住酒店数据库泄露了解一下
shellj
2018-11-15 15:30:13 +08:00
把账号密码这些东西写在环境变量里
aino
2018-11-15 15:36:59 +08:00
@shellj #31 好像海星
CoderEQ
2018-11-15 16:21:35 +08:00
你在路上捡到一把钥匙,你能偷到这把钥匙主人家的东西吗
aaaaasam
2018-11-15 17:05:49 +08:00
有访问授权控制的,如果你的 mysql 给的是 'root'@'1.1.1.1'就算你有密码,那也只能 1.1.1.1 这个地址去登录
CasualYours
2018-11-15 17:35:03 +08:00
mysql 权限过高是很容易侵入服务器的,mysql 的 system 命令可以执行服务器指令。
ihuotui
2018-11-15 20:41:52 +08:00
应用配置分离
largecat
2018-11-15 22:01:49 +08:00
只是写普通文章,传个配置文件不含服务器 ip 地址,拿到密码也不知道服务器在哪里吧
pythonCoder
2018-11-16 09:06:08 +08:00
如果按照题目要求“能够入侵我的服务器吗?”,各位都跑题了;
1.如果没做 WEB、DB 的分离(应用和数据部署在不同的服务器),并且泄漏了 mysql 的 root 账户,你的服务器非常容易被入侵,这里的入侵是拿到 webshell ;

2.除了 1.这种情况,其它的最多也就是数据被查看、删除和修改,对服务器没什么任何影响。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/508016

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX