Início / dba / Perguntas / 341862
Accepted
Martin
Asked: 2024-08-23 22:03:00 +0800 CST

MySQL 5.7: É relevante/risco ter hosts externos na coluna mysql.Hosts se "skip-networking" estiver habilitado?

  • 772

NOTA: Estou ciente de que nosso MySQL está desatualizado e estou pressionando isso, mas não podemos atualizar no momento.

Algumas pequenas perguntas para as quais não consigo encontrar respostas claras:

  1. Descobri que nosso MySQL v5.7.44 - MySQL Community Server (GPL) tem vários usuários no banco de dados "mysql" com o campo "Host" mostrando endereços IP não locais como seu "Host". Isso causa algum risco (hipoteticamente) enquanto a My.cnfconfiguração "skip-networking" está definida como TRUE?

    Acredito que eles não deveriam estar aqui e irei eliminá-los, mas queria entender se o sinalizador "skip-networking" tem advertências, por exemplo, se o host estiver listado na mysql.userstabela.

  2. Alguns desses IPs externos são servidores antigos em que usávamos antigamente, mas outros não. Este seria um indicador provável de comprometimento do banco de dados?

  3. No mesmo tópico, também temos vários usuários no banco de dados "mysql" com o campo "Host" mostrando o nome de domínio atual do servidor, bem como um "Host" mostrando o endereço IP atual do servidor. Isso é um problema? Existe uma vantagem em limpar qualquer um desses usuários?

mysql

1 respostas

  1. Best Answer

    Se a skip-networking permanecer ativa, não haverá risco. O servidor MySQL não aceitará nenhuma conexão via TCP/IP. Ele aceitará apenas clientes locais usando o arquivo de soquete no UNIX/Linux ou um pipe nomeado no Windows.

    O risco é que a opção de pular rede possa ser removida por outra pessoa no futuro. Isso significa que o MySQL Server aceitará novamente conexões de clientes usando TCP/IP.

    Se o administrador do banco de dados não souber verificar os usuários MySQL existentes na tabela de senhas, então, de repente, vários usuários supostamente inativos poderão se conectar, usando qualquer senha antiga que tenha sido definida para esses usuários.

    Se fosse eu, aproveitaria para descartar os usuários desnecessários do MySQL. Então você não precisa se preocupar com o risco de eles se tornarem ativos novamente, e você não precisa se preocupar se o seu sucessor que assume a responsabilidade por aquela instância do MySQL Server sabe sobre o risco.

    Re seu comentário:

    Os únicos usuários que podem se conectar se o skip-networking estiver ativo são user@localhost.

    Você não está bloqueando nenhum usuário, já que eles não poderão se conectar de qualquer maneira se estiverem user@hostnameou user@ipaddress. Não faz diferença se eles são identificados pelo nome do host ou endereço IP. Ambos usam TCP/IP e já estão bloqueados. Se isso não estiver causando um problema agora, você está bem.

    • 1

relate perguntas