Mysql初装之数据库隐患

最新推荐文章于 2023-03-21 22:04:37 发布
最新推荐文章于 2023-03-21 22:04:37 发布
阅读量833 收藏
点赞数 1
分类专栏: mysql 文章标签: mysql 初装 隐患
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/suyishuai/article/details/44590881
版权

在数据库级别的权限,如果给一个用户CREATE权限的话,那么这个用户是这个时候就是看到这个数据库了。

grant create on suys.* to sec2@'192.168.124.13';

比如这个语句给sec2用户 create 权限在suys数据库上面。但是实际查询的时候可以看见

sec2@192.168.124.13:3306  07:41:24 [suys]>show databases;

+--------------------+

| Database           | 

+--------------------+

| information_schema |

| suys               |

| test               |

+--------------------+

3 rows in set (0.02 sec)


sec2@192.168.124.13:3306  07:41:34 [suys]>

这个时候,我们却看见了其他另外2个库(information_schema 和 test)。


1.并不存在的information_schema库

    information_schema库比较像Oracle数据库的那些系统V$*视图数据字典。这样所有登陆到MySQL数据库的

用户都应该访问这个库。

    需要注意的是,Mysql中的information_schema库并不是真正存在的数据库。在操作系统层面没有与之对应

物理文件。这个数据库及库中的对象完全是由Mysql自动维护的虚拟对象。这些对象用户能看见但是不能修改。

    information_schema库对象的另一个特殊之处在于,用户不能对information_schema数据库中的对象做授权。

即使做了操作也会失败,管理员用户也不行。


2.有趣的test库

   新建MySql数据库后,默认创建的test数据库比较怪异,所有可连接的用户都能拥有权限访问该库,并操作其中

的对象,这是怎么实现的呢,其实很简单,查看库级权限字段表mysql.db。

root@localhost:mysql.sock  21:40:59 [mysql]>

root@localhost:mysql.sock  21:41:00 [mysql]>select * from mysql.db where db like 'test%'\G;

*************************** 1. row ***************************

                 Host: %

                   Db: test

                 User: 

          Select_priv: Y

          Insert_priv: Y

          Update_priv: Y

          Delete_priv: Y

          Create_priv: Y

            Drop_priv: Y

           Grant_priv: N

      References_priv: Y

           Index_priv: Y

           Alter_priv: Y

Create_tmp_table_priv: Y

     Lock_tables_priv: Y

     Create_view_priv: Y

       Show_view_priv: Y

  Create_routine_priv: Y

   Alter_routine_priv: N

         Execute_priv: N

           Event_priv: Y

         Trigger_priv: Y

*************************** 2. row ***************************

                 Host: %

                   Db: test\_%

                 User: 

          Select_priv: Y

          Insert_priv: Y

          Update_priv: Y

          Delete_priv: Y

          Create_priv: Y

            Drop_priv: Y

           Grant_priv: N

      References_priv: Y

           Index_priv: Y

           Alter_priv: Y

Create_tmp_table_priv: Y

     Lock_tables_priv: Y

     Create_view_priv: Y

       Show_view_priv: Y

  Create_routine_priv: Y

   Alter_routine_priv: N

         Execute_priv: N

           Event_priv: Y

         Trigger_priv: Y

2 rows in set (0.01 sec)

     从权限上来看,Host=%,User为空。这就说明了不限制的。所有能连接到Mysql的用户,全都拥有test及test开通的数据库的几乎所有权限。

这无疑存在安全上的隐患,先不说在其中创建的重要对象可以被随便访问。在该库如果创建一个很大的对象,就能把空间全部占满。

   所以在刚创建完数据库后,在没有任何新用户有新权限的时候,执行下面SQL,删除test的相关权限。如果你已经建了很多用户后,才看见这个问题,用delete删除单条数据好了。

root@localhost:mysql.sock  21:43:16 [mysql]>

root@localhost:mysql.sock  21:43:36 [mysql]>truncate table mysql.db;

Query OK, 0 rows affected (0.00 sec)


root@localhost:mysql.sock  21:43:49 [mysql]>

root@localhost:mysql.sock  21:43:50 [mysql]>

    

suyishuai
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
最新MySQL数据库漏洞情况通报
12-15
总之,MySQL数据库的远程代码执行漏洞(CNNVD-201609-183)提醒我们,即使是最常用和看似安全的软件也可能存在安全隐患。及时获取安全更新、实施安全策略和持续监控系统是保护数据安全不可或缺的步骤。作为数据库...
zabbix监控过程
l13409694969的博客
05-18 278
zabbix监控过程 在要监控的主机上安装agent 在agentd. conf文件中配置server地址和hostname启动agent 在web界面上添加主机/主机组 添加监控项 手动创建监控项 模板添加监控项 添加触发器(定义阈值) 定义媒介(即通知人的方式) 为不同的用户选择媒介 为触发器配置动作 手动触发问题 验证 linux部署agent端 实验环境 zabbix server端 zabbix agent端 ip 192.168.10.11 192.168.10.15
安装kubernetes--通过软件包管理工具安装
qq_44089897的博客
03-21 694
使用软件包的方式快捷搭建k8s集群
学习MySQL01《环境准备》
weixin_47252600的博客
01-08 154
接下来我们开始进入MySQL的学习。
Nginx双机主备(Keepalived实现)
独行侠梦的博客
03-26 970
前言 首先介绍一下Keepalived,它是一个高性能的服务器高可用或热备解决方案,起初是专为LVS负载均衡软件设计的,Keepalived主要来防止服务器单点故障的发生问题,可以通过其与Nginx的配合实现web服务端的高可用。 Keepalived以VRRP协议为实现基础,VRRP是Virtual Router Redundancy Protocol(虚拟路由冗余协议)的缩写,VRRP协议...
MySQL安全风险
weixin_65500452的博客
07-27 326
安全套接字层(SSL)是确保在用户和站点之间,或两个系统之间传输的数据无法被读取。它使用加密算法打乱传输中的数据,防止数据通过连接传输时被黑客读取。 传输层安全性(TLS)是SSL的升级版,TLS通过建立安全连接实现数据在两个应用进程之间的安全传输过程,能够实现双向身份鉴别、保证数据的完整性和保密性。 通过下列语句可以在employee@localhost用户激活PROTECTING模拟 CALL mysql.sp_set_firewall_mode( 'employee@localhost', 'P
shell脚本连接、读写、操作mysql数据库实例
09-10
在shell脚本中操作MySQL数据库是一项常见的任务,尤其是在自动化运维和数据处理场景中。本文将详细介绍如何使用shell脚本连接MySQL数据库,并进行读写操作。 首先,连接MySQL数据库通常使用`mysql`命令行工具。在...
Linux下MySQL数据库安全配置指南.doc
06-03
Linux下MySQL数据库安全配置指南 Linux 操作系统下 MySQL 数据库的安全配置指南是非常重要的,因为 MySQL 数据库存储着大量的敏感数据,任何安全漏洞都可能会导致灾难性的后果。本指南旨在提供一个详细的安全配置...
MySQL数据库的安全机制.pdf
10-10
MySQL数据库的安全机制是确保数据安全的关键组成部分,尤其在如今广泛应用于网络开发的环境中。MySQL作为一个多用户、多线程的关系型数据库管理系统,其安全性尤为重要。本文主要探讨了MySQL的权限系统,即如何控制...
php为什么选mysql作为数据库Mysql 创建用户方法
12-17
1. **开源和成本效益**:MySQL是最早的开源数据库之一,遵循GPL或GPL2许可证,允许自由分发和修改。这使得MySQL成为PHP开发者的一个经济实惠的选择,尤其是对于预算有限的项目或初创公司。 2. **性能和稳定性**:...
mysql 去安全隐患 mysql_secure_installation
anhuizhiqiang的专栏
05-29 8752
执行/usr/bin/mysql_secure_installation ,去安全隐患 /server/mysql-5.5 是MYSQL的安装路径basedir[root@czq bin]# pwd /server/mysql-5.5/bin [root@czq bin]# ./mysql_secure_installation NOTE: RUNNING ALL PARTS OF THI
记录mysql中的隐患特性
zhangge3663的博客
03-21 297
一、背景       参考链接: http://http://www.360doc.com/content/16/1204/19/27425026_611850045.shtml       1.1 MYSQL在遇到/*! SQL语句*/这种格式的时候,里面的SQL语句会当正常的语句一样被解析。        如图:                以上我们可以看到 where id =1;的部分被...
MySQL安全问题(防范必知)
gt9000的博客
01-12 2353
文章内容 对于任何一种数据库来说,安全问题都是非常重要的。如果数据库出现安全漏洞,轻则数据被窃取,重则数据被破坏,这些后果对于一些重要的数据库都是非常严重的。下面来从操作系统和数据库两个层对MySQL的安全问题进行讨论。 操作系统相关的安全问题 常见的操作系统安全问题主要出现在MySQL的安装和启动过程中. 1.严格控制操作系统账号和权限 在数据库服务器上要严格控制操作系统的账号和权限,比如: 锁...
mysql 数据库管理中的安全问题(一)
aeoluspu的专栏
07-12 1090
从网上看到一些帖子,面试者被问到如何认识mysql数据库的安全问题。很多安全问题都是由于对账号管理不妥当造成的。   1 删除匿名账号            在mysql版本中,安装完mysql后,默认会有一个匿名账号,只有执行mysql命令就能登录上去。如下: 直接执行mysql 登录上数据库,进入test数据库下  [xkyx80@localhost ~]$ mysql
MySQL简单安全管理和故障排查
lt53130640688的博客
11-05 629
MySQL安全管理--启动脚本权限修改 [root@mysql 3306]# find /data -type f -name "mysql" /data/3307/mysql /data/3306/mysql [root@mysql 3306]# find /data -type f -name "mysql" -exec chmod 700 {} \; [root@mysql 3306]# fi
Mysql中alter权限的隐患
lwei_998的专栏
12-10 2504
MySQL测试环境中一张表被清空,检查binglog并没有发现有delte,drop,truncate操作。 $mysqlbinlog test-150-bin.251369 |grep -i -E  -B3 'drop|delete|truncate' 检查了今天所有的binlog都没发现有delete,drop,truncate操作。 而且也排除了有人用临时关闭二进制日志的方式进行的
Mysql数据库的安全性问题——注入攻击以及解决办法
Nullisleep的博客
08-09 1222
在日常生活中我们在网上购物、出行买票等一系列的操作时都需要很重要的一步,那就是先进入自己的个人账户,里面有更详尽的且别人看不到的私有个人信息,如果别人能够进入我们的个人账户,那就杯具了,本文将介绍一种安全性的隐患——仅通过获取正确的用户名就可以进入他人账户,它就是注入攻击,是Mysql数据库中内部机制产生的一种攻击方式。 注入攻击产生的原因是这样的:由于sql语句是由前台参数与后台语句拼接而来,在...
70-lnmp-搭建wordpress博客站点
dushansao的博客
06-05 409
列表lnmp一键安装脚本实验开始Discuz 安装向导PowerDNS 安装向导php加速器wordpress安装向导跳至文章页尾 lnmp一键安装脚本 #本章并不使用,仅提供了解 lnmp自动化安装脚本下载 详细说明 #脚本执行命令 wget http://soft.vpser.net/lnmp/lnmp1.7.tar.gz -cO lnmp1.7.tar.gz && tar zxf lnmp1.7.tar.gz && cd lnmp1.7 && ./in
对于项目中mysql数据库分析
最新发布
05-31
2. 数据库安全分析:对MySQL数据库的权限设置、数据备份与恢复、数据加密等方面进行分析,找出潜在的安全隐患。 3. 数据库容量规划:对MySQL数据库的数据增长趋势、存储需求、备份策略等进行分析,规划数据库容量。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值