:::
1-7 新接任的網管需要做些什麼?
1-8 加強資料庫安全性
一、緣起
- 於2023-08-02下午應該許多學校或單位都有收到這樣的通知:
- 先說明一下,這只是通告,並非真的有被入侵。
- pma.php是在站長工具箱內,也就「資料庫管理」的導引程式。該程式是用來呼叫最新版的 adminer 4.81,並加入官方外掛用的。
- 「Adminer development priorities are: 1. Security, 2. User experience, 3. Performance, 4. Feature set, 5. Size.」這是他們的開發宗旨,第一點就是Security(安全)。到目前為止,尚無發現 4.81版有任何資安問題(參見此處)
- 根據文意,看起來重點應該是這句『該頁面若使用預設密碼或遭暴力密碼破解成功,攻擊者將得到系統完整控制權』。
- adminer.php 其實只是為文字界面的MySQL,提供一個圖形操作界面而已,所以,登入的帳密,就是資料庫帳密。不過,MySQL沒有所謂的「預設密碼」,因此,若容易被暴力破解,只有「弱密碼」這個可能性而已。
二、如何應對?
- 若很急,先改掉 modules/tad_adm/pma.php 的檔名,例如(不過這屬於鴕鳥心態,就是不讓弱掃單位掃到而已)
- 可改掉網站的資料庫帳密即可,朝著「不使用root帳號」、「超級麻煩的密碼」的方向來設定即可。
三、建立資料庫新帳號
- 點擊「歡迎XXX→資料庫管理」
- 然後用資料庫密碼登入之(伺服器 99% 都是localhost,台南市例外,因為網站和資料庫並不在同一臺機器上)。
- 點擊學校用的資料庫
- 點擊「權限」
- 點擊「建立使用者」(如果你有權限建立的話,再往下做即可。若是沒權限,那就表示不關您的事...)
- 輸入帳號密碼,密碼越長越好(),加點大小寫和特殊符號更佳,「All privileges」記得勾才有全部權限,設好後,下方按「儲存」
- 此時,應該可以看見使用者列表有您剛剛新建的帳號。
四、修改 XOOPS 的 secure.php 檔設定
- 切到「站長工具箱」的前台,找到「 xoops_data 路徑」的值
- 接著用ssh或filezilla軟體想辦法開啟「/xoops_data路徑/data/secure.php」這個檔,這是資料庫的設定檔
- 修改「XOOPS_DB_USER」及「XOOPS_DB_PASS」的值,儲存即完成。
- 接著,只要回到網站,看看是否可以正常呈現即可。
- 最後,透過 「SQL命令」來修改root密碼:
ALTER USER 'root'@'localhost' IDENTIFIED WITH mysql_native_password BY 'root的密碼'; FLUSH PRIVILEGES;若上述語法不行(5.5.5-10.4.30-MariaDB),請試試下面語法:
ALTER USER 'root'@'localhost' IDENTIFIED BY 'root新密碼'; FLUSH PRIVILEGES;若還不行(5.5.68-MariaDB),用這個
use mysql; UPDATE mysql.user SET Password=PASSWORD('root新密碼') WHERE User='root'; UPDATE user set plugin='' where User='root'; FLUSH PRIVILEGES;
五、常見問答
- 在XOOPS網站中各模組、
MYSQL是否仍需要用root帳號去進行驗證才能使用?
答:沒有一定要用root喔~ - pma.php剛剛確認是在tad admin內,如果刪除是否會影響到其他系統運作?
答:tad_adm及 tad_admin 都有 pma.php,刪除不影響網站(因為本來就跟XOOPS無直接關係),只是會比較不方便而已(得自己裝個資料庫管理工具,如 phpMyAdmin)。 - 關閉目錄瀏覽功能是否影響到網站運作。
答:不會,而且本來就應該關閉,打開才是有問題的阿!!!!
