MySQL 安全漏洞,服务器、数据库和用户名暴露

MySQL 安全漏洞,服务器、数据库和用户名暴露

我遇到以下情况:在数十台安全性较弱的机器上安装了业务关键应用程序。该应用程序使用 MySQL 4 数据库,所有业务关键数据都存储在该数据库中。

每个应用程序安装都有一个以 ascii 格式存储的配置文件,任何有权访问该计算机的人都可以读取和写入该文件。

暴露的信息如下:

服务器名称

数据库名称

用户名

我的问题是:

  1. 对于一个专门的攻击者来说,这会造成多大的损害,或者说是一个多大的安全漏洞?
  2. 对于一个中等经验的攻击者来说,这会造成多大的损害,或者说是一个多大的安全漏洞?
  3. 数据库容易受到哪些类型的攻击?

答案1

每个应用程序安装都有一个以 ASCII 格式存储的配置文件,任何有权访问计算机的人都可以读取和写入该文件

那么,不要这么做。更改相关文件的权限,以便只有需要读取该文件的用户才能读取。

答案2

... 一批安全性较弱的机器...

所以要让它们更安全。
“业务关键”和“安全性较弱”不能很好地结合在一起。

该应用程序使用 MySQL 4 数据库...

MySQL 4 的最后一个版本于 2004 年发布 -17年(又称“永恒”)之前。
该 DBMS 版本是过时的不支持
虽然这不是您最大或最紧迫的问题,但如果该数据库休息,你基本上就得靠自己了。

...配置文件...可由有权访问计算机的任何人读取和写入

  • 收紧文件系统安全在该文件上仅有的[正在运行的帐户] 应用程序进程可以访问该文件。
  • 调查存储这些信息的[更好的]替代方法。
  • 勒紧,加强访问控制电脑本身。
    我感觉很多的人可以登录,这可能不是一个好主意。

答案3

这基本上意味着盒子本身的安全性将成为您的最后一道防线。因此,请确保您的登录是安全的,并且暴露在盒子外部的应用程序没有任何漏洞。这是可以做到的;毕竟您必须在某个地方设置围栏,但通常设置多个围栏是个好主意。这取决于应用程序和数据的性质、攻击者可能是谁以及所有这些对他们有什么价值。

答案4

我希望该系统不会暴露在互联网上。如果暴露在互联网上,那么风险就类似于将车停在公共场所(互联网)上,车门未锁(机器安全性较弱),钥匙放在遮阳板上(只需要猜出密码,其他一切都在那里)。

相关内容