Raketenwilli: Datenbank ohne Passwort (Sicherheit) - Tipp für Hoster

Beitrag lesen

ich habe auch schon Hoster gesehen, die für den Datenbankzugriff gar kein Passwort verlangen, weil aufgrund der geltenden Routing- und Firewall-Regeln der Zugriff sowieso nur von localhost kommen kann, und der darf ja immer.


Ich gehe mal davon aus, dass Du nicht die Möglichkeit meinst, den MySQL/MariaDB-Benutzer und dessen Passwort in einer php.ini bzw. .user.ini zu verewigen:

mysqli.default_user =
; Default password for mysqli_connect() (doesn't apply in safe mode).
; *Any* user with PHP access can run 'echo get_cfg_var("mysqli.default_pw")
; https://php.net/mysqli.default-pw
mysqli.default_pw =

Das ist aber sicherer als in Skripten unterhalb von Document-Root.


Das kann (eigentlich, jenseits von Skript-Konstruktionen, bei denen dem MySQL-Client ein Passwort anhand des Unix-Benutzerkennzeichens automatisch „untergejubelt“ wird, siehe oben) nur bei einem eigenem (virtuellem) Server der Fall sein (nicht beim „shared hosting“) und entspricht dann wohl dem, was Debian-artige beim Setup machen: Wer mittels sudo oder su Root werden kann, ist das dann (bei einer Verbindung via Socket, die der Client nutzt wenn localhost oder nichts als Server angegeben wird) auch - via MySQL/MariaDB-Client - auch ohne Passwort.

Auf einem eigenem Server (ganz gleich ob Hardware oder virtuell) ist man also selbst in der Verantwortung.

Zur Frage der Sicherheit: Wenn ein Angreifer root-Rechte auf einem Server hat, dann „war es das auch“ für die Datenbanken, denn der System-Root hat „viele schöne Möglichkeiten“ (beginnen wir bei der Option --skip-grant-tables beim Start des Dienstes oder einer passenden Zeile in der Konfiguration) - dagegen hilft allenfalls das Betreiben der Datenbank in durch einen Benutzer separat verschlüsselten Containern (etwa via virtuelle Maschine oder Docker). Allerdings nur bis sich dann eine berechtigte Person dort anmeldet oder der Wörterbuch bzw. Brut-Force-Angriff auf die Verschlüsselung erfolgreich ist und nur dann wenn bei Auftauchen ungewöhnlicher Root-Prozesse die VM oder der Container und der zur Entschlüsselung notwendige Mount gecancelt wurde…

Soll heißen: Das der System-Root sich lokal und ohne Passwort an der Datenbank anmelden kann ist keine Sicherheitslücke - das sieht nur so aus.

Mein Fazit: Hoster, die Linux-Server vermieten, sollten Kunden, die einen gültigen LPIC-2 oder dergleichen nachweisen, Rabatt geben. Die „versauen“ weniger oft IP-Adressen und brauchen auch deutlich seltener Support – sparen also „Manpower“.

0 132

Mail lundet im Junk-Ordner

Gerhard
  • php
  1. 0
    Der Martin
    • e-mail
    • php
  2. 0
    Mitleser 2.0
  3. 0
    Felix Riesterer
    1. 0
      Mitleser 2.0
      1. 0
        Felix Riesterer
        1. 0

          Die Headerzeilen eines solchen Mails werden benötigt.

          Raketenwilli
          • php
          • sicherheit
          • webserver
          1. 0
            Rolf B
            1. 0
              Raketenwilli
              1. 0
                Der Martin
                1. 0

                  Datenbank ohne Passwort (Sicherheit) - Tipp für Hoster

                  Raketenwilli
                  • linux
                  • sicherheit
                  • webserver
                  1. 0
                    Der Martin
                    1. 0
                      Rolf B
                      1. 0
                        Raketenwilli
          2. 0
            Felix Riesterer
            1. 0
              Raketenwilli
        2. 0
          Mitleser 2.0
          1. 0
            Hans P.
            1. 0

              Wunschtraum aller Spammer ...

              Raketenwilli
              • internet
    2. 0
      Gerhard
      1. 4
        Felix Riesterer
        1. 0
          Gerhard
          1. 0
            Gerhard
            1. -1
              Raketenwilli
              • php
              • sicherheit
              1. 0

                (Typo)

                Raketenwilli
                1. 0
                  Gerhard
                  1. 0
                    Der Martin
                    1. 0

                      XAMPP/MercuryMail als Ursache für Spam-Deklaration gefunden?

                      Raketenwilli
                      • sicherheit
                      • webserver
                      1. 0

                        Ergänzende Konfiguration für PHP-Mailer

                        Raketenwilli
                  2. 0

                    XAMPP

                    Raketenwilli
                    1. 0
                      Gerhard
                      1. 0

                        About: Times

                        Raketenwilli
                        1. 0
                          Gerhard
                          1. 0
                            Raketenwilli
                            1. 1
                              Der Martin
                              • e-mail
                              • php
                              • sicherheit
                              1. 0
                                Gerhard
                              2. -1

                                About: Geheimniskrämerei und Hilfesuche

                                Raketenwilli
                                • zur info
              2. 0
                Gerhard
                1. -1
                  Raketenwilli
                  1. 1
                    Der Martin
                    • seitenbewertung
                    • zu diesem forum
                    1. 0
                      Raketenwilli
              3. 0
                Gunnar Bittersmann
                • php
                • tippfehler
                1. 0
                  Raketenwilli
              4. 0
                Aufmerksamer Mitleser (Bernd)
                1. 0
                  Der Martin
                  1. 0
                    Rolf B
                    1. 0
                      Raketenwilli
                  2. 0
                    Aufmerksamer Mitleser (Bernd)
                    1. 0
                      Der Martin
                      1. 0
                        Rolf B
                    2. 0
                      Raketenwilli
                      1. 0
                        Aufmerksamer Mitleser (Bernd)
                        1. 0
                          Raketenwilli
          2. 0
            Felix Riesterer
            1. 0
              Gerhard
        2. 0
          Gerhard
          1. 0
            Der Martin
            • e-mail
            • php
            1. 0
              Gerhard
              1. 1
                Felix Riesterer
                1. 0
                  Raketenwilli
                2. 0
                  Gerhard
                  1. 0

                    Umlaute? „Fünktionört“ es „wärklich?“

                    Raketenwilli
                    1. 0
                      Gerhard
                    2. 0
                      Der Martin
                      1. 0
                        Raketenwilli
                        1. 0
                          Der Martin
                          1. 0
                            Raketenwilli
                            1. 0
                              Der Martin
                              1. 0
                                Raketenwilli
                                1. 0
                                  Der Martin
                                  1. 0
                                    Raketenwilli
                                    1. 0
                                      Der Martin
                                      1. 0
                                        Raketenwilli
                                        1. 0
                                          Der Martin
          2. 1

            Definitiv Konfigurationsfehler.

            Raketenwilli
            • netzwerk
            1. 0
              Gerhard
              1. 0

                Funktioniert definitiv: PHPMailer via sendmail

                Raketenwilli
  4. 0

    Mail landet im Junk-Ordner seit einigen Monaten

    Jasper
    1. 0

      PHP-Formmailer

      Matthias Scharwies
      1. 0
        Raketenwilli
        • software
        1. 0
          Jasper
          1. 0
            Raketenwilli
            1. 0
              Jasper
              1. 0
                Mitleser 2.0
                1. 0
                  Der Martin
                  • e-mail
                  • software
                  1. 0
                    Jasper
                    1. 0
                      Raketenwilli
                      1. 0

                        (Falscher Link)

                        Raketenwilli
                        1. 0
                          Jasper
                          1. 0
                            Gerhard
                            1. 0
                              Raketenwilli
                              1. 0
                                Gerhard
                                1. 0
                                  Raketenwilli
                                  1. 0
                                    Gerhard
                                    1. 0
                                      Raketenwilli
                                      1. 0
                                        Gerhard
                                        1. 0
                                          Raketenwilli
                              2. 0
                                Gerhard
                                1. -1
                                  Raketenwilli
                                  1. 0
                                    Gerhard
                                  2. 2
                                    Rolf B
                                    1. 0
                                      Raketenwilli
                                      1. 0
                                        Jasper
                                        1. 0

                                          „Gefunden“ wahrlich nicht...

                                          Raketenwilli
                          2. 0
                            Jasper
              2. 0
                Felix Riesterer
                1. 0
                  Raketenwilli
                  1. 0
                    Raketenwilli
    2. -1

      Muss man ein Mailformular haben? Ein Gegenargument.

      Raketenwilli
      • recht
      1. 0

        @Mister „-1“

        Raketenwilli
        • zur info
      2. -1

        Zur Dimension des Problems...

        Raketenwilli
        • recht
        • zur info
        1. 0
          Rolf B
          1. 0
            Gerhard
            1. 1
              Matthias Scharwies
              1. 0
                Der Martin
                1. 0
                  Matthias Scharwies
                  1. 0
                    Raketenwilli
            2. 1
              Raketenwilli
              1. -1

                Nachtrag: Negative Feststellungsklage bei Rechtsmissbrauch: Androhen aber besser lassen.

                Raketenwilli
              2. 0
                Richard
                1. -1
                  Raketenwilli
                  1. -1

                    Aha.

                    Raketenwilli
                  2. 0
                    Rolf B
  5. 0
    Rolf B
    1. 0
      Tabellenkalk
      1. -1
        Raketenwilli
        • meinung
        1. 1
          Gerhard
          1. 0

            Wie man Hilfe bekommt

            Raketenwilli
            1. 0
              Gerhard
              1. 0
                Raketenwilli
                1. 0
                  Gerhard
                  1. 0

                    Automatische Erkennung eigener Mails an sich selbst als Spam - was tun?

                    Raketenwilli