CMSのMySQLユーザーに推奨されるSQL特権

Question

最近、Drupal、Moodle、Efront、Elggなどの多くのWeb開発アプリを試しています。セキュリティを強化するために、Parallelsを使用して、Mac OS X 10.4内の仮想XPマシンでXAMPPセットアップでテストサーバーを実行します。これはかなり安全だと思いますよね？

Elggのようなソフトウェアをインストールするとき、データベースにアクセスするためにMySQLサーバーにユーザーを作成するように求められます。新しいユーザーを作成する方法が正しいかどうか、このユーザーにどの許可を与えるべきかを知りたい。

現在、PHPMyAdmin、MySQLデータベース、ユーザーテーブルに移動し、新しい行を挿入して新しいユーザーを作成しています。これは正しいです？何らかの理由で、常に機能するとは限りません。

PS-このすべてに煩わされるべきですか、それとも各ソフトウェアに自分のルートアカウントを使用させますか？

Answer 1

使用するMySQLユーザー権限は非常に重要であり、ハッキングを防ぐことができます。最小特権アクセスのシステムに従う必要があります。

PHPMyAdminでユーザーを追加するには： 1）ルートとしてログイン 2）「特権」タブに移動します 3）「新しいユーザーを追加」をクリックします。

PHPMyAdminは、MySQL特権をデータ、構造、および管理としてグループ化します。

＆quot;管理＆quot; Webアプリケーションの特権は無効にする必要があります。このアクセス権を持つのはルートのみです。 「管理」のいずれもアプリケーションでクエリのスタックが許可されていない限り、SQLインジェクションエクスプロイトで特権を使用できます。 （ほとんどはこれを許可しません！）

Webアプリケーションのインストール中に、「構造」データベースを構築するには特権が必要ですが、これらはWebアプリケーションの操作中にはほとんど必要ないため、オフにすることができます。

＆quot;データ＆quot;セクションはトリッキーです。 ＆quot; FILE＆quot;特権は、Webアプリケーションに与えることができる最も危険な特権です。これは、ハッカーがSQLインジェクションの脆弱性を使用してサーバー上のファイルを読み書きできるようにするためです。 ＆quot; FILE＆quot;アクセスは、攻撃者にリモートコード実行（RCE）を与える唯一の特権であり、常に無効にする必要があります。

最後になりましたが、Apache Friends XAMPPはひどいソフトウェアです。既知の脆弱性が存在し、1年近くパッチが適用されていません。 UbuntuのLAMPインストールを使用することを推奨しました。使いやすく安全です。

Answer 2

ユーザーテーブルに直接行を挿入する場合は、権限ページのFLUSH PRIVILEGESリンクをクリックして、mysqlにユーザーテーブルを再度表示させる必要があります。

より良い方法は、phpmyadminの権限ページを使用して新しいユーザーを設定することです。そこに行くには、左の列の上部にある家のロゴをクリックしてください。次に、画面の右側で、特権のリンクをクリックします。

そして、あなたのソフトウェアがルートアカウントを使うことを絶対に許可しないでください。可能な限り最も厳しい権限を持つ各アプリケーションのユーザーを作成する必要があります。