linux – 可以将MySQL root密码留空吗？

概述如果我的 MySQL服务器只接受来自localhost的连接,没有密码的root用户是否构成安全漏洞？ 我知道普通的智慧说root用户应该受密码保护,但是把它留空是什么意思呢？我不关心Linux用户,除了我自己连接到MySQL,我不打算允许网络访问数据库. 编辑：是什么让MySQL与SQLite不同,它不受密码保护？我们在谈论什么样的部署方案？如果攻击者获得对服务器的访问权限,那么是什么阻止攻击者 如果我的 MySQL服务器只接受来自localhost的连接,没有密码的root用户是否构成安全漏洞？

我知道普通的智慧说root用户应该受密码保护,但是把它留空是什么意思呢？我不关心linux用户,除了我自己连接到MysqL,我不打算允许网络访问数据库.

编辑：是什么让MysqL与sqlite不同,它不受密码保护？我们在谈论什么样的部署方案？如果攻击者获得对服务器的访问权限,那么是什么阻止攻击者只是重置密码？

请记住,我不是想在这里提倡任何事情,我只是希望人们对此事有所了解.

解决方法 是的,我认为这是一个相当基本的安全漏洞.让我通过一个故事来说明这一点.

很久很久以前,在我年轻且知识渊博的日子里,我设置了一台服务器,用于内部测试我正在测试的各种零碎件.它坐在我的桌子上,没有连接到任何网络(这是很久以前,所有必须在网络上才能做任何事情).当我不在办公室时,其他人需要一台机器,并拿走了我的测试机器(我不介意;我在使用机器的基础上,如果有必要可以用于其他事情).由于它已经运行了所需的 *** 作系统,因此只需将其插入网络,然后安装所需的 *** 作系统即可.

问题是,我在那个盒子上设置了各种各样的测试帐户,容易猜到密码(比如一个非常有用的测试).即使是很久以前,也不乏缺少什么比密码猜测帐户更好的歹徒.他们花了很长时间才找到这台机器,猜测密码,并且用它们做出了邪恶的方式.

这个故事的主旨？要求变更.即使您现在不希望这样做,也有可能在机器的整个生命周期中它的角色都会发生变化 – 我预计最可能的结果是其他用户可以访问机器(合法地,或通过应用程序级漏洞利用).你必须记得在必要时设置MysqL root密码的机会是……很渺茫.

我的建议是花10秒钟设置MysqL root密码并将其放入~root / .my.cnf.一次性时间成本远远低于妥协成本与妥协概率之间的成本.

总结

以上是内存溢出为你收集整理的linux – 可以将MySQL root密码留空吗？全部内容，希望文章能够帮你解决linux – 可以将MySQL root密码留空吗？所遇到的程序开发问题。

如果觉得内存溢出网站内容还不错，欢迎将内存溢出网站推荐给程序员好友。