Re: Comportement MariaDB et configuration
Bonjour En matiere de securite, j'ai beaucoup a apprendre J'en prends bonne note et je vais essayer d'appliquer vos conseils pour augmenter la securite :D Cordialement Hugues Le 13 juillet 2017 à 10:06, Daniel Caillibauda écrit : > Le 12/07/17 à 18:20, Hugues MORIN a écrit : > HM> Salut > HM> > HM> > HM> Oui biensur le root systeme peut s'octroyer tous les droits mais je les > HM> differencie afin de ne pas donner le mdp systeme a quelqu'un si j'ai > besoin > HM> de lui fournir momantanement le mdp du root DB. (ce que je ne fais > jamais > HM> en theorie mais je prefere prevoir...) > > J'avais même pas imaginé ce cas ;-) > > (je suis sur des machines où root n'a pas de pass, il ne peut donc pas se > connecter avec > login/pass, et la DB n'a pas de user root) > > Si j'ai besoin de filer tous les droits sur la DB à Hugues, je crées un > user hughes et lui file > tous les droits. > > -- > Daniel > > Un gentleman est un monsieur qui sait jouer > de la cornemuse, mais qui s'en abstient. > Woody Allen > >
Re: Comportement MariaDB et configuration
Le 12/07/17 à 18:20, Hugues MORINa écrit : HM> Salut HM> HM> HM> Oui biensur le root systeme peut s'octroyer tous les droits mais je les HM> differencie afin de ne pas donner le mdp systeme a quelqu'un si j'ai besoin HM> de lui fournir momantanement le mdp du root DB. (ce que je ne fais jamais HM> en theorie mais je prefere prevoir...) J'avais même pas imaginé ce cas ;-) (je suis sur des machines où root n'a pas de pass, il ne peut donc pas se connecter avec login/pass, et la DB n'a pas de user root) Si j'ai besoin de filer tous les droits sur la DB à Hugues, je crées un user hughes et lui file tous les droits. -- Daniel Un gentleman est un monsieur qui sait jouer de la cornemuse, mais qui s'en abstient. Woody Allen
Re: Comportement MariaDB et configuration
Le 12/07/17 à 18:13, Alain Rpnpifa écrit : AR> Le 12 juillet 2017, Daniel Caillibaud a écrit : AR> AR> > Ça change pas grand chose, celui qui est root sur le système qui fait tourner la bdd peut AR> > facilement s'octroyer tous les droits. AR> AR> Oui et non. Si la sécurité de la base est compromise celle du système AR> le serait ce qui serait plus grave, surtout si la base est accessible AR> de l'extérieur. C'est pourquoi, je pense qu'il faut mieux mettre deux AR> mots de passe différents. J'avoue ne pas comprendre en quoi mettre deux mots de passe ≠ augmente la sécurité. Si je suis root sur la machine (en connaissant le pass root du système ou pas, il n'en a pas forcément), je peux m'octroyer tous les droits sur la base mysql/mariaDb facilement (j'ai la main sur tout le filesystem). -- Daniel Every journalist has a novel in him, which is an excellent place for it. Russel Lynes
Re: Comportement MariaDB et configuration
Salut Oui biensur le root systeme peut s'octroyer tous les droits mais je les differencie afin de ne pas donner le mdp systeme a quelqu'un si j'ai besoin de lui fournir momantanement le mdp du root DB. (ce que je ne fais jamais en theorie mais je prefere prevoir...) ou si la securite de la DB est compromise comme le dit Alain. Pour "mysql -uUSER -p .", c'est bien le cas et la seule exception est le root systeme logue. A priori les autres users systeme peuvent se loguer en root DB comme ca: monuser@XXX:~ su -c"mysql -uroot -p" Mot de passe : (root systeme) Enter password: (root DB) Welcome to the MariaDB monitor. Commands end with ; or \g. Your MariaDB connection id is 47 Je n'ai pas retirer le reglage par defaut UNIX_SOCKET et si j'ai bien compris cela est normal car monuser est sur le socket local Par contre il est impossible de ce connecter via une interface web comme phpmyadmin ou avec un user systeme normal sans utiliser su. Je viens de tester en enlevant et remettant UNIX_SOCKET et ca a l'air de bien etre ca :D je crois que c'a y est, je commence a comprendre :D MERCI POUR VOTRE AIDE Cordialement Hugues Le 12 juillet 2017 à 17:13, Daniel Caillibauda écrit : > Le 12/07/17 à 16:43, Hugues MORIN a écrit : > HM> Et volontairement je n'ai pas mis le meme que celui de mon root systeme > > Ça change pas grand chose, celui qui est root sur le système qui fait > tourner la bdd peut > facilement s'octroyer tous les droits. > > > HM> En quelque sorte, avoir systematiquement cette syntaxe en ligne de > HM> commande: mysql -uUSER -p .etc > > Je pense que c'était le cas, et que le root loggué localement était la > seule exception. > > HM> @julien: je ne comprends pas bien ce que tu m'expliques > HM> quand tu dis: "... Le compte root n'est autorisé à se logger que depuis > HM> localhost " > HM> Est ce que ca veux dire qu'il faut etre loguer sur le systeme en root > pour > HM> pouvoir se loguer en root sur la DB ? > > Oui, encore heureux ;-) > > HM> Et que si je retire UNIX_SOCKET, tous les users systeme pourront se > loguer > HM> en root sur la DB? > > S'il n'a pas de pass, tous ceux qui pourront lancer un client mysql depuis > les hosts définis > pour la connexion de root (en général localhost seulement). > > La définition des droits sous mysql / mariaDb, c'est d'abord le triplet > host/user/pass > (ensuite tu peux surcharger par base et même par table ou par colonne). > > Tu peux très bien avoir un root loggé localement qui accède sans pass (via > le UNIX_SOCKET que > je connaissais pas), et exiger le pass xxx pour root s'il se connecte > depuis le host truc et le > pass s'il se connecte depuis le host machin, toutes les autres > connexions au compte root > depuis un autre host ne seront pas possible, avec ou sans pass. > > -- > Daniel > > First they ignore you, then they laugh at you, > then they fight you, then you win > Gandhi > >
Re: Comportement MariaDB et configuration
Le 12 juillet 2017, Daniel Caillibaud a écrit : > Ça change pas grand chose, celui qui est root sur le système qui fait tourner > la bdd peut > facilement s'octroyer tous les droits. Oui et non. Si la sécurité de la base est compromise celle du système le serait ce qui serait plus grave, surtout si la base est accessible de l'extérieur. C'est pourquoi, je pense qu'il faut mieux mettre deux mots de passe différents. -- Alain Rpnpif
Re: Comportement MariaDB et configuration
UNIX_SOCKET impose de se connecter depuis un socket local et non depuis le réseau. C'est pourquoi c'est le choix par défaut pour root. Si tu enlève UNIX_SOCKET tu pourras te connecter avec le user root en tant qu'utilisateur unix normal depuis la machine (ou le réseau si tu écoutes les connexions depuis le réseau dans my.cnf). Julien
Re: Comportement MariaDB et configuration
Le 12/07/17 à 16:43, Hugues MORINa écrit : HM> Et volontairement je n'ai pas mis le meme que celui de mon root systeme Ça change pas grand chose, celui qui est root sur le système qui fait tourner la bdd peut facilement s'octroyer tous les droits. HM> En quelque sorte, avoir systematiquement cette syntaxe en ligne de HM> commande: mysql -uUSER -p .etc Je pense que c'était le cas, et que le root loggué localement était la seule exception. HM> @julien: je ne comprends pas bien ce que tu m'expliques HM> quand tu dis: "... Le compte root n'est autorisé à se logger que depuis HM> localhost " HM> Est ce que ca veux dire qu'il faut etre loguer sur le systeme en root pour HM> pouvoir se loguer en root sur la DB ? Oui, encore heureux ;-) HM> Et que si je retire UNIX_SOCKET, tous les users systeme pourront se loguer HM> en root sur la DB? S'il n'a pas de pass, tous ceux qui pourront lancer un client mysql depuis les hosts définis pour la connexion de root (en général localhost seulement). La définition des droits sous mysql / mariaDb, c'est d'abord le triplet host/user/pass (ensuite tu peux surcharger par base et même par table ou par colonne). Tu peux très bien avoir un root loggé localement qui accède sans pass (via le UNIX_SOCKET que je connaissais pas), et exiger le pass xxx pour root s'il se connecte depuis le host truc et le pass s'il se connecte depuis le host machin, toutes les autres connexions au compte root depuis un autre host ne seront pas possible, avec ou sans pass. -- Daniel First they ignore you, then they laugh at you, then they fight you, then you win Gandhi
Re: Comportement MariaDB et configuration
Bonjour Merci pour vos reponses Mettre un mdp au root de MariaDB a ete ma 1ere reaction. J'ai utilise ce tuto: https://memo-linux.com/reinitialiser-le-mot-de-passe-root-oublie-pour-mariadb-ou-mysql-serveur-en-5-etapes/ Et volontairement je n'ai pas mis le meme que celui de mon root systeme En fait ce que j aimerai c est retrouve le comportement que j avais avec mysql. A savoir que les user de db n est pas de rapport avec les user du systeme. Autrement dit, c est pas parce que je suis loguer en root sur le systeme que je dois pas saisir le mdp du root de db. Et idem pour les autres users. J'aimerai que l'execution d'une requete soit systematiquement assujetti a la demande du mdp. En quelque sorte, avoir systematiquement cette syntaxe en ligne de commande: mysql -uUSER -p .etc @julien: je ne comprends pas bien ce que tu m'expliques quand tu dis: "... Le compte root n'est autorisé à se logger que depuis localhost " Est ce que ca veux dire qu'il faut etre loguer sur le systeme en root pour pouvoir se loguer en root sur la DB ? Et que si je retire UNIX_SOCKET, tous les users systeme pourront se loguer en root sur la DB? C'est ca ou j'ai compris de travers? (dsl j'ai quelques lacunes et des heures de sommeil en moins depuis hier :( ) Cordialement Hugues Le 12 juil. 2017 10:47, "Julien Pecqueur"a écrit : > Bonjour, > > > J'ai un comportement de MariaDB qui me semble etrange et c'est la raison > > pour laquelle je me tourne vers vous. > > Quand je suis en shell et que je tape mysql, il semblerai que je sois > > directement connecte a MariaDB sans demande de mot de passe ou de quoique > > ce soit !!! > > > > root@:~# mysql > > Welcome to the MariaDB monitor. Commands end with ; or \g. > > Your MariaDB connection id is 18 > > Server version: 10.1.23-MariaDB-9+deb9u1 Debian 9.0 > > > > Copyright (c) 2000, 2017, Oracle, MariaDB Corporation Ab and others. > > > > Type 'help;' or '\h' for help. Type '\c' to clear the current input > > statement. > > > > MariaDB [(none)]> > > > > > > Est-ce normal? > > Oui c'est le fonctionnement par défaut de mariadb. Le compte root n'est > autorisé à se logger que depuis localhost en utilisant le plugin de > connexion UNIX_SOCKET. > > Si tu veux ddésactiver ce comportement, il faut faire setter à NULL le > champ plugin pour l'utilisateur root : > > UPDATE mysql.user SET plugin = NULL WHERE user = 'root' AND plugin = > 'unix_socket'; > FLUSH PRIVILEGES; > > Mais c'est une mauvaise idée, il est logique que seul l'utilisateur root > local puisse se connecter avec tous les droits sur l'instance. > > Julien > >
Re: Comportement MariaDB et configuration
Bonjour, > J'ai un comportement de MariaDB qui me semble etrange et c'est la raison > pour laquelle je me tourne vers vous. > Quand je suis en shell et que je tape mysql, il semblerai que je sois > directement connecte a MariaDB sans demande de mot de passe ou de quoique > ce soit !!! > > root@:~# mysql > Welcome to the MariaDB monitor. Commands end with ; or \g. > Your MariaDB connection id is 18 > Server version: 10.1.23-MariaDB-9+deb9u1 Debian 9.0 > > Copyright (c) 2000, 2017, Oracle, MariaDB Corporation Ab and others. > > Type 'help;' or '\h' for help. Type '\c' to clear the current input > statement. > > MariaDB [(none)]> > > > Est-ce normal? Oui c'est le fonctionnement par défaut de mariadb. Le compte root n'est autorisé à se logger que depuis localhost en utilisant le plugin de connexion UNIX_SOCKET. Si tu veux ddésactiver ce comportement, il faut faire setter à NULL le champ plugin pour l'utilisateur root : UPDATE mysql.user SET plugin = NULL WHERE user = 'root' AND plugin = 'unix_socket'; FLUSH PRIVILEGES; Mais c'est une mauvaise idée, il est logique que seul l'utilisateur root local puisse se connecter avec tous les droits sur l'instance. Julien
Re: Comportement MariaDB et configuration
Le 12 juillet 2017, Hugues MORIN a écrit : > Bonjour > > > J'ai tente hier d'updater mon dedie de Jessie a Stretch. > Cela s'est solde par un echec (la machine ne pinguait plus) > Apres redemarrage en mode rescue, j'ai pu avoir acces au log mais apres 2 a > 3h de recherche, n'ayant rien trouve j'ai renonce et reinstaller le serveur > avec Strectch. > > En Jessie, j'utilisais MySQL 5.55 et j'accedais souvent a mes DB en > utilisant phpmyadmin pour les operations courantes et en ligne de commande > pour les operations d'archivage, sauvegarde, etc.. > > En Stretch je suis passe sur MariaDB. > Auriez-vous un bon tuto pour la configuration? > > J'ai un comportement de MariaDB qui me semble etrange et c'est la raison > pour laquelle je me tourne vers vous. > Quand je suis en shell et que je tape mysql, il semblerai que je sois > directement connecte a MariaDB sans demande de mot de passe ou de quoique > ce soit !!! > > root@:~# mysql > Welcome to the MariaDB monitor. Commands end with ; or \g. > Your MariaDB connection id is 18 > Server version: 10.1.23-MariaDB-9+deb9u1 Debian 9.0 > > Copyright (c) 2000, 2017, Oracle, MariaDB Corporation Ab and others. > > Type 'help;' or '\h' for help. Type '\c' to clear the current input > statement. > > MariaDB [(none)]> > > > Est-ce normal? Bonjour, Je ne répond pas directement à la question mais il est déconseillé de se connecter en root. Il est préférable de faire sous un utilisateur normal : mysql -u root -p (sans le -p s'il n'y a pas de mot de passe). En ce qui concerne la question, je dirais que ce serait un problème de configuration car je n'ai pas ce problème. -- Alain Rpnpif
Re: Comportement MariaDB et configuration
Bonjour A propos du comportement étrange, j'ai remarqué cela aussi il y a plusieurs mois. De ce que j'ai compris, MariaDB utilise l'authentification PAM. il n'y a qu'un compte "root" dont le mot de passe correspond au compte root du système d'exploitation. Si on lance le client MariaDB en tant que root, on est automatiquement authentifié. Du coup il faut créer à la main un ou plusieurs comptes utilsiateur dans MariaDB depuis le client MariaDB. Un exemple de commande pour créer user avec tous les privilèges sur toutes les tables de toutes les bases de données. (Ressorti de mémoire, une vérification dans le manuel de MariaDB ne fera pas de mal). grant all privileges on *.* to 'user'@'localhost' identified by 'password'; Le mercredi 12 juillet 2017 à 08:33 +0200, Hugues MORIN a écrit : > Bonjour > > > J'ai tente hier d'updater mon dedie de Jessie a Stretch. > Cela s'est solde par un echec (la machine ne pinguait plus) > Apres redemarrage en mode rescue, j'ai pu avoir acces au log mais > apres 2 a 3h de recherche, n'ayant rien trouve j'ai renonce et > reinstaller le serveur avec Strectch. > > En Jessie, j'utilisais MySQL 5.55 et j'accedais souvent a mes DB en > utilisant phpmyadmin pour les operations courantes et en ligne de > commande pour les operations d'archivage, sauvegarde, etc.. > > En Stretch je suis passe sur MariaDB. > Auriez-vous un bon tuto pour la configuration? > > J'ai un comportement de MariaDB qui me semble etrange et c'est la > raison pour laquelle je me tourne vers vous. > Quand je suis en shell et que je tape mysql, il semblerai que je sois > directement connecte a MariaDB sans demande de mot de passe ou de > quoique ce soit !!! > > root@:~# mysql > Welcome to the MariaDB monitor. Commands end with ; or \g. > Your MariaDB connection id is 18 > Server version: 10.1.23-MariaDB-9+deb9u1 Debian 9.0 > > Copyright (c) 2000, 2017, Oracle, MariaDB Corporation Ab and others. > > Type 'help;' or '\h' for help. Type '\c' to clear the current input > statement. > > MariaDB [(none)]> > > > > Est-ce normal? > > > Cordialement > Hugues > >
Re: Comportement MariaDB et configuration
Le 12/07/17 à 08:33, Hugues MORINa écrit : HM> Bonjour HM> HM> HM> J'ai tente hier d'updater mon dedie de Jessie a Stretch. HM> Cela s'est solde par un echec (la machine ne pinguait plus) HM> Apres redemarrage en mode rescue, j'ai pu avoir acces au log mais apres 2 a HM> 3h de recherche, n'ayant rien trouve j'ai renonce et reinstaller le serveur HM> avec Strectch. HM> HM> En Jessie, j'utilisais MySQL 5.55 et j'accedais souvent a mes DB en HM> utilisant phpmyadmin pour les operations courantes et en ligne de commande HM> pour les operations d'archivage, sauvegarde, etc.. HM> HM> En Stretch je suis passe sur MariaDB. HM> Auriez-vous un bon tuto pour la configuration? HM> HM> J'ai un comportement de MariaDB qui me semble etrange et c'est la raison HM> pour laquelle je me tourne vers vous. HM> Quand je suis en shell et que je tape mysql, il semblerai que je sois HM> directement connecte a MariaDB sans demande de mot de passe ou de quoique HM> ce soit !!! HM> HM> root@:~# mysql HM> Welcome to the MariaDB monitor. Commands end with ; or \g. HM> Your MariaDB connection id is 18 HM> Server version: 10.1.23-MariaDB-9+deb9u1 Debian 9.0 HM> HM> Copyright (c) 2000, 2017, Oracle, MariaDB Corporation Ab and others. HM> HM> Type 'help;' or '\h' for help. Type '\c' to clear the current input HM> statement. HM> HM> MariaDB [(none)]> HM> HM> HM> Est-ce normal? Ça doit être la configuration par défaut, étrange au premier abord mais pas vraiment dangereux (si tu es root sur la machine locale tu peux de toutes façon tout faire), mais ça ne veut pas dire qu'il y a un pb. Pour supprimer ce comportement (qui te servira peut-être de plan B si tu foire la config des droits), configure d'abord phpMyAdmin pour pouvoir gérer les droits, l'accès pour un user standard en ligne de commande pouvant tout faire, puis supprimer le user root (ou lui coller un pass). -- Daniel La seule vraie bête de somme, c'est la mouche tsé-tsé Pierre Dac