Daniel Caillibaud a écrit : > Le 25/03/19 à 14:06, BERTRAND Joël <joel.bertr...@systella.fr> a écrit : >> Je considère que ce n'est pas un trou de sécurité, mais une faille >> délirante. root doit se connecter avec un mot de passe. > > ??? > > Si t'es root sur la machine, tu as accès à tous les contenus de toutes les > bases, je vois pas ce que ça change coté sécurité qu'il puisse se connecter > sans mot de passe… (on parle localement, un root qui a déjà un shell sur la > machine). >
Le nombre de clients que j'ai déjà vus avoir des machines compromises avec un accès root total parce que le mot de passe était trop compliqué et qu'ils ont collé un mot de passe à la turc avec un accès ssh distant possible pour root ne se comptent plus (et même sans ça, le plus beau était un compte ftpuser/ftpuser avec un root/toor, sans accès distant à root par ssh, durée de vie de la machine sur le grand terne, un week-end !). Donc par défaut, l'accès à une base de données se fait chez moi avec un mot de passe même en étant root. Ce truc m'a déjà sauvé la vie plusieurs fois. Parce que lorsqu'une machine est compromise, ce n'est jamais la faute du type qui a installé un service mal configuré, c'est toujours de la faute du type qui a fournit l'installation. J'en suis même arrivé dans mes CGV à indiquer brutalement que les GTR ne s'appliquaient qu'en cas de configuration hard et soft non modifiée par le client. Même mysqladmin demande un mot de passe : root@hilbert:~# mysqladmin processlist mysqladmin: connect to server at 'localhost' failed error: 'Access denied for user 'root'@'localhost' (using password: NO)' Pour l'instant, je ne suis pas encore tombé sur un attaquant qui se soit permis d'arrêter une base pour utiliser mysqladmin brutalement ou qui soit passé outre le mot de passe administrateur de la base de données, ils cherchent plutôt à récupérer des infos sans qu'on s'en rende compte ou de corrompre des systèmes fonctionnels. En espérant que ça ne change pas. Donc oui, le fait d'avoir un mot de passe sur l'accès à la base ne protège pas de tout, loin de là, mais ça peut emmerder et ralentir substantiellement l'attaquant. Bien cordialement, JKB