Va bene avere una password di root vuota per MySQL se la porta 3306 non viene inoltrata?

-1

Gestisco un server PHP che utilizzerà l'account root per accedere al database. Tuttavia, il server si trova dietro un router e la porta 3306 non viene inoltrata. Va bene avere una password vuota per l'account root? Sto anche bloccando tutte le connessioni in entrata eccetto le porte 22 per SSH e 80 per HTTP.

    
posta Phoenix Logan 12.11.2015 - 03:12
fonte

1 risposta

3

Principio di defence in depth - Dovrai mettere in atto ulteriori livelli di protezione per proteggere i tuoi dati.

Per il tuo caso, se un utente malintenzionato riesce a forzare la tua password SSH o ad ottenere la tua chiave privata, sarà in grado di accedere al tuo account mysql root e ottenere i dati se la password è vuota. Tuttavia, se la password è impostata su una password generata casualmente sicura, allora c'è un ulteriore livello di protezione che proteggerà i tuoi dati. Dovrà forzare brutemente anche la password dell'account sql.

Oltre a SSH, potrebbe anche essere possibile eseguire un attacco di overflow del buffer sul server web sulla porta 80 e inserire una shell.

    
risposta data 12.11.2015 - 03:28
fonte

Leggi altre domande sui tag