Re: Conseils sur l'administration de MySQL/MariaDB sur Buster ? [RESOLU]

To: debian-user-french@lists.debian.org
Subject: Re: Conseils sur l'administration de MySQL/MariaDB sur Buster ? [RESOLU]
From: BERTRAND Joël <joel.bertrand@systella.fr>
Date: Tue, 26 Mar 2019 10:36:44 +0100
Message-id: <[🔎] 2de15352-f710-564e-367e-69d0a5538432@systella.fr>
In-reply-to: <[🔎] 20190326100107.4688ef32@quad>
References: <[🔎] CAPeT9jjHU+iuS_kw07--Q-bfD+WGQ4MPHfr3uWB2NMTsRee+tA@mail.gmail.com> <[🔎] 5eb4c370-1838-5924-d5db-aab792aaff90@systella.fr> <[🔎] CAPeT9jgZOX4LGviYbkF8f5JgOeGAodzks4B0C+B9-mZUPfAEJw@mail.gmail.com> <[🔎] 32693446-2306-8151-6405-7ac79cf4f780@systella.fr> <[🔎] 20190326100107.4688ef32@quad>

Daniel Caillibaud a écrit :
> Le 25/03/19 à 14:06, BERTRAND Joël <joel.bertrand@systella.fr> a écrit :
>> 	Je considère que ce n'est pas un trou de sécurité, mais une faille
>> délirante. root doit se connecter avec un mot de passe.
> 
> ???
> 
> Si t'es root sur la machine, tu as accès à tous les contenus de toutes les
> bases, je vois pas ce que ça change coté sécurité qu'il puisse se connecter
> sans mot de passe… (on parle localement, un root qui a déjà un shell sur la
> machine).
> 

	Le nombre de clients que j'ai déjà vus avoir des machines compromises
avec un accès root total parce que le mot de passe était trop compliqué
et qu'ils ont collé un mot de passe à la turc avec un accès ssh distant
possible pour root ne se comptent plus (et même sans ça, le plus beau
était un compte ftpuser/ftpuser avec un root/toor, sans accès distant à
root par ssh, durée de vie de la machine sur le grand terne, un week-end
!). Donc par défaut, l'accès à une base de données se fait chez moi avec
un mot de passe même en étant root. Ce truc m'a déjà sauvé la vie
plusieurs fois. Parce que lorsqu'une machine est compromise, ce n'est
jamais la faute du type qui a installé un service mal configuré, c'est
toujours de la faute du type qui a fournit l'installation. J'en suis
même arrivé dans mes CGV à indiquer brutalement que les GTR ne
s'appliquaient qu'en cas de configuration hard et soft non modifiée par
le client. Même mysqladmin demande un mot de passe :

root@hilbert:~# mysqladmin processlist
mysqladmin: connect to server at 'localhost' failed
error: 'Access denied for user 'root'@'localhost' (using password: NO)'

	Pour l'instant, je ne suis pas encore tombé sur un attaquant qui se
soit permis d'arrêter une base pour utiliser mysqladmin brutalement ou
qui soit passé outre le mot de passe administrateur de la base de
données, ils cherchent plutôt à récupérer des infos sans qu'on s'en
rende compte ou de corrompre des systèmes fonctionnels. En espérant que
ça ne change pas.

	Donc oui, le fait d'avoir un mot de passe sur l'accès à la base ne
protège pas de tout, loin de là, mais ça peut emmerder et ralentir
substantiellement l'attaquant.

	Bien cordialement,

	JKB

Reply to:

Follow-Ups:
- Re: Conseils sur l'administration de MySQL/MariaDB sur Buster ? [RESOLU]
  - From: Daniel Caillibaud <ml@lairdutemps.org>

References:
- Conseils sur l'administration de MySQL/MariaDB sur Buster ?
  - From: Olivier <oza.4h07@gmail.com>
- Re: Conseils sur l'administration de MySQL/MariaDB sur Buster ?
  - From: BERTRAND Joël <joel.bertrand@systella.fr>
- Re: Conseils sur l'administration de MySQL/MariaDB sur Buster ? [RESOLU]
  - From: Olivier <oza.4h07@gmail.com>
- Re: Conseils sur l'administration de MySQL/MariaDB sur Buster ? [RESOLU]
  - From: BERTRAND Joël <joel.bertrand@systella.fr>
- Re: Conseils sur l'administration de MySQL/MariaDB sur Buster ? [RESOLU]
  - From: Daniel Caillibaud <ml@lairdutemps.org>

Prev by Date: Re: Conseils sur l'administration de MySQL/MariaDB sur Buster ? [RESOLU]
Next by Date: Re: Conseils sur l'administration de MySQL/MariaDB sur Buster ? [RESOLU]
Previous by thread: Re: Conseils sur l'administration de MySQL/MariaDB sur Buster ? [RESOLU]
Next by thread: Re: Conseils sur l'administration de MySQL/MariaDB sur Buster ? [RESOLU]
Index(es):
- Date
- Thread