Mam system bazowy i używam XAMPP na nim, moja baza danych ma hasło i mam dostęp do tego przez phpmyadmin.

Mam niektórych osób pracujących nad tym samym komputerem, w którym działa system bazowy internetowych, używamy systemu do określonego zadania.

Jedną rzeczą, którą się boję, jeśli mogą uzyskać lub dowiedzieć się hasła bazy danych (nie obejmują nadrzędnego lub resetowania hasła).

Ponieważ są fizycznie dostępowalni do serwera, można uzyskać lub pozwala powiedzieć, że deszyfrują bieżące hasło? Jeśli tak, jakie są możliwe sposoby?

Chcę być tego świadomy i chcę poprawić bezpieczeństwo bazy systemowej na metodzie, które mogą zrobić.

0
Polar 3 czerwiec 2018, 09:46

3 odpowiedzi

Najlepsza odpowiedź

Jest tu kilka warstw bezpieczeństwa.

Wierzę, że poprawna odpowiedź na twoje pytanie brzmi: "Nie, to nie ryzyko", ale gruntowna odpowiedź będzie rozwiązać wszystkie możliwe sposoby narażenia.

Konta systemowe.

Twój system operacyjny ma konta użytkowników. W ten sposób, inni użytkownicy i różne usługi systemowe (takie jak sam serwer MySQL) uwierzytelniają się do systemu operacyjnego. To dobra praktyka, aby nie udostępniać kont użytkowników. Hasła te są przechowywane w postaci solonej i zniesionkowej na serwerze i nie są odzyskiwalne ani odwracalne (przynajmniej do celów tej dyskusji). W tych informacjach jest zasadniczo zagrożenie zagrożone przez innych użytkowników na maszynie.

Konta użytkowników MySQL.

MySQL ma indywidualne konta użytkowników. Są to, w jaki sposób indywidualni użytkownicy MySQL uwierzytelniają się do serwera bazy danych i ogólnie nie powinny być udostępniane między użytkownikami, aplikacjami lub usługami. Podobnie jak konta systemowe, te hasła są przechowywane w postaci znieczulenia, które sprawiają, że jest stosunkowo bezpieczny, aby było ponownie niewielkie zagrożenie w innych użytkownikach, patrząc na hasło Hashed.

Hasła aplikacji.

To jest trudny. Wiele aplikacji tworzy tabelę użytkownika w bazie danych aplikacji w MySQL. Może to być niezwykle proste; Takie jak nazwa użytkownika i zwykłe hasło tekstowe lub mogą być dość wyszukane i bezpieczne. Aplikacje, takie jak WordPress, Joomla, PHPBB i praktycznie wszystko inne wdrażają własne metody haseł na poziomie aplikacji. Może to być właściwie zniesławione i bezpieczne, albo może być zwykły tekst. Nie wiedząc o szczegółach aplikacji, nie możemy powiedzieć z pewnością. Możesz uzyskać trochę wskazówek, patrząc na pole Hasło w samym bazy danych, ale nie udało mu się to niezwłocznie oczywiste, jeśli hasło jest solone lub zniesławiony ze słabym algorytmem. Dlatego jest to możliwy wektor atak, z którym powinieneś się martwić.

Innym interesującym aspektem jest wąchanie sieci; Atakujący może wąchać ruch sieciowy, aby określić hasło użytkownika MySQL użytkownika. Prostym obejściem jest egzekwowanie tylko szyfrowanych komunikacji SSL dla użytkowników, aby połączyć się z serwerem MySQL i / lub używając tylko metody połączenia gniazda.

Myślę, że pokrowce na stosunkowo wysokiego poziomu wszystkie możliwe wektory ataku tutaj. Wziąłem pewne wolności ze względu na uproszczenie rzeczy; Na przykład istnieją pewne starsze systemy operacyjne, które wykorzystują osłabione metody mieszania, które oznaczają, że te skrycia nie są bezpieczne, a każdy użytkownik z dostępem może prawdopodobnie eskalować swoje przywileje (na przykład użytkownik z fizycznym dostępem do serwera może ponownie uruchomić innym startowa jazda, zresetuj hasło systemu głównego, zainstaluj dowolne życzenia keyloggera i przywrócić rzeczy. Podobne ostrzeżenia będą miały zastosowanie do użytkownika bez fizycznego dostępu, ale z uprawnieniami administracyjnymi. W zależności od wektora ataku, te aspekty mogą lub nie mogą być niepokojące ty.

0
Isaac Bennetch 5 czerwiec 2018, 06:18

Na pewno jest to możliwe ....

  • Wszystko, co musiałbym zrobić, jest otwarcie pliku konfiguracyjnego Phpmyadmin i spojrzeć na informacje o dostępie bazy danych, ponieważ jest tam niezaszyfrowane. Zasadniczo każde ustawienie konfiguracji, które same jest zaszyfrowane, będzie kwestią bezpieczeństwa.

(Po otrzymaniu dostępu DB, który będzie prawdopodobnie dostępny administrator systemowy (SA), mógłbym odwrócić inżyniera użytkowników i hasła w systemie, podany wystarczająco dużo czasu, ponieważ miałbym również dostęp do soli w DB)

Inne scenariusze (nie znam twojej dokładnej konfiguracji) byłoby:

  • Sprawdzanie dzienników.
  • Wąchanie ruchu sieciowego dla każdego niezabezpieczonego dostępu DB. Powiedz, że nie używasz TLS na przykład
  • Ponieważ mam też fizyczny dostęp do maszyny, mógłbym także złamać użytkowników i hasła OS, a nawet dodać jeden na własny użytek do późniejszego

Krótka odpowiedź brzmi, że gdy ludzie mają dostęp do fizycznej maszyny, twoja powierzchnia ataku rośnie wykładniczo.

0
TheEdge 3 czerwiec 2018, 06:53

Jeśli martwisz się o hasła systemu (OS), wszystkie są mieszanymi metodą soli. Przeczytaj tutaj, co trwa zbyt długo, aby odszyfrować. https://en.wikipedia.org/wiki/salt_(priptionografia)

Ale jeśli jest to związane z Phpmyadmin, to jest całkowicie związane z tym, jak przechowujesz hasła użytkownika. Może być konieczne przechowywanie hasha haseł, chociaż phpmyadmin administrator mogą zastąpić własne hashes i dostęp do danych użytkownika.

0
Narbeh 3 czerwiec 2018, 07:02