WIN2000Apachephpmysql安装及安全手册[2]

select host,user,password,Delete_priv from user;
+-----------+------+------------------+-------------+
| host | user | password | Delete_priv |
+-----------+------+------------------+-------------+
| localhost | root | 67457e226a1a15bd | Y |
| % | root | | Y |
| localhost | | | Y |
| % | | | N |
+-----------+------+------------------+-------------+
现在新的版本，安装完毕都会出现一个快速设置窗口，用于设置口令。
以上，就是user表里的内容（略了点）看看有什么问题？
我们知道mysql的验证方式是比较特殊的，它基于两个2个信息来进行的
1.从那里连接
2.用户名
第一条没什么问题，当然口令必须是安全的。
第二条从任何主机，以用户root，不需要口令都可以连接，权限为所有的权限。(注:这里的权限是全局权限)
第三条从本地主机，任何用户名（注：user为空白，不表示不需要用户名），不需要口令，都可以连接，所有的权限
第四条从任何主机，任何用户名，不需要口令，都可以连接，无任何权限。
可以看出，2\\3\\4都是不安全的，如何攻击这里就不说了，请参看资料文库。
如果你mysql只允许本地连接，删除host的%和user中的nul(表示空)
delete from user where host=‘%‘;
delete from host where user=‘‘;
最后的user表，看起来因该是这个样子
+-----------+------+------------------+-------------+
| host | user | password | Delete_priv |
+-----------+------+------------------+-------------+
| localhost | root | 67457e226a1a15bd | Y |
+-----------+------+------------------+-------------+
最后需要刷新授权表，使其立刻生效
flush privileges;
如果你的mysql需要被远程使用，需要为%段中的root帐号，加上一个安全的密码
update user set password=password(‘youpass‘) where host=‘%‘;
其中youpass，就是口令
mysql> select host,user,password,Delete_priv from user;
+-----------+------+------------------+-------------+
| host | user | password | Delete_priv |
+-----------+------+------------------+-------------+
| localhost | root | 67457e226a1a15bd | Y |
| % | root | 77c590fa148bc9fb | Y |
+-----------+------+------------------+-------------+
更好的做法是，对远程主机的连接，指定为特定的
修改host中的%为允许连接的主机，比如：
192.168.0.% 允许一个特定的子网
www.sandflee.net 允许一个特定的主机
帐号默认的名字也是担心的问题。有可能导致被暴力破解
update user set user=‘localadmin‘ where host=‘localhost‘;
update user set user=‘remoteadmin‘ where host=‘%‘;
最后的user表看起来像是这个样子
mysql> select host,user,password,Delete_priv from user;
+-----------+-------------+------------------+-------------+
| host | user | password | Delete_priv |
+-----------+-------------+------------------+-------------+
| localhost | localadmin | 67457e226a1a15bd | Y |
| % | remoteadmin | 77c590fa148bc9fb | Y |
+-----------+-------------+------------------+-------------+
更为详细的资料，请去参考晏子的《MySQL中文参考手册》。随便那都有下
二.缺乏日志能力
mysql安装完成以后，会在%SystemRoot%目录下产生my.ini的设置文件
默认的内容如下：
——————————————————————————————
basedir=C:/mysql
#bind-address=192.168.0.1
datadir=C:/mysql/data
#language=C:/mysql/share/your language directory
#slow query log#=
#tmpdir#=
#port=3306
#set-variable=key_buffer=16M
[WinMySQLadmin]
Server=C:/mysql/bin/mysqld-nt.exe
user=root
password=root
注意log#=这个
它没有被定义，且被注销掉了。
更改为一个适合的路径，比如：
log=c:/mysql/logs/mysql.log
三.my.ini文件泄露口令
我们看到my.ini最后，有这两句
user=root
password=root