Marian Hercek wrote: > Nikto sa nechyta? :-(
Spis jde o to, co ma byt vysledkem teto debaty a jakou formou se ma vest? Za sebe mohu napriklad k MySQL postnout nasledujici kroky, ktere delam v zajmu zvyseni bezpecnosti ihned po jejim nainstalovani: ## prihlasit se do MySQL, zalozit noveho uzivatele s root pravy mysql -u root USE mysql; GRANT ALL ON *.* TO [EMAIL PROTECTED] IDENTIFIED BY 'somestrongpassword' WITH GRANT OPTION; GRANT ALL ON *.* TO [EMAIL PROTECTED] IDENTIFIED BY 'somestrongpassword' WITH GRANT OPTION; ## smazat puvodniho roota a accounty bez hesla REVOKE ALL PRIVILEGES, GRANT OPTION FROM [EMAIL PROTECTED]; REVOKE ALL PRIVILEGES, GRANT OPTION FROM [EMAIL PROTECTED]; DELETE FROM user WHERE User='' OR Password=''; ## odstranit databazi test, ktera ma povolen pristup bez hesla DROP DATABASE test; DELETE FROM db WHERE Db LIKE 'test%'; FLUSH PRIVILEGES; Nevim, jestli k tomu mama podavat jeste dalsi vysvetleni, ale ve strucnosti: Zalozim si vlastniho uzivatele s opravnenim "superuzivatele" s poradnym heslem. Smazu puvodniho uzivatele root, ktery je ve vychozi instalaci bez hesla. Smazu ostatni uzivatele bez hesla a databazi test, do ktere je pristup povolen kazdemu uzivateli. U lockdown, nebo i vlastniho shellscriptu, kterym jsem (po vzoru lockdown) menil pristupova prava k souborum jsem zjistil, ze pak nektere veci nefunguji jak maji - pokud /etc/group, nebo /etc/hosts a dalsi veci nejsou world readable... takze jsem prava zase vracel zpet. jinak obecne plati - nastavovat souborum co nejmensi prava pri zachovani stejne funkcionality - napriklad /root je normalne verejne citelny, to same i ostatni home adresare - coz neni dobre. Dale to plati pro ostatni konfiguracni soubory v /etc a /usr/local/etc, hlavne ty, kde se nastavuji hesla k databazim atd. (napriklad FTP accounty mam ulozene v MySQL, takze konfigurak FTP daemona obsahuje heslo k MySQL, proto tento konfigurak ma byt citelny jen uzivatelem, pod kterym se spousti FTP daemon) I uzivatele e-mailu mam v MySQL databazi a k te databazi se pak musi pripojovat Postfix, antispam, pop3 / imap daemon a webove administracni rozhrani - tam zase plati, za pro kazdeho daemona pouzivam jine pristupove udaje do databaze. Postfix, imap / pop3 maji prava jen pro cteni a jen konkretnich tabulek, webove rozhrani pro zapisovani atd. atd... Mirek -- FreeBSD mailing list (users-l@freebsd.cz) http://www.freebsd.cz/listserv/listinfo/users-l
