MySQL GRANT PROXY - що це означає?

14

Я біжу:

show grants for root@localhost;

і я бачу

 GRANT PROXY ON ''@'' TO 'root'@'localhost' WITH GRANT OPTION

З MySQL Документи:

https://dev.mysql.com/doc/refman/5.5/uk/proxy-users.html

Це дозволяє зовнішньому користувачеві бути проксі-сервером для другого користувача; тобто мати привілеї другого користувача. Іншими словами, зовнішній користувач - це "проксі-користувач" (користувач, який може себе представити себе або став відомим як інший користувач), а другий користувач - "проксі-користувач" (користувач, ідентифікацію якого може отримати проксі-користувач) .

Але я не розумію, що вони означають. Я отримав систему від іншого працівника, який залишив роботу і хочу переконатися, чи все в безпеці і не знаю, чи потрібен цей грант. Але якщо це не спричинить жодних проблем із безпекою, я можу залишити це.

Чи може хтось пояснити більш простим способом?

Оновлення:

Як я можу підключитися як інший користувач? Я пробував різні комбінації, пароль імені користувача, але я не можу змусити його з'єднуватися.

Наприклад, я використовував root користувача, але пароль від іншого користувача, який не працював. Спробував інший користувач і пароль root, також не вийшло.

Оновлення:

Або це може означати, що користувач root може підключитися як інший користувач? Як це зробити принаймні, наприклад, якщо так?

mysql  proxy 
Дарій.V
джерело
"Початковий кореневий обліковий запис, створений під час встановлення MySQL, має PROXY ... SA GRANT OPTION привілей для '' @ '', тобто для всіх користувачів та всіх хостів. Це дозволяє root встановлювати користувачів проксі, а також делегувати. для інших облікових записів повноваження встановлювати користувачів проксі. " З документів тут: dev.mysql.com/doc/refman/5.5/uk/proxy-users.html
Katie

Відповіді:

3

Автентифікація користувача MySQL - досить тривалий процес для пояснення. Я посилаю вас на свою 3,5-річну відповідь на помилку MySQL: Доступ заборонено користувачеві 'a' @ 'localhost' (використовуючи пароль: ТАК), щоб ви могли бачити кроки, які користувач виконує для автентифікації.

Що дає грант PROXY, це дозволяє одному користувачу маскуватися під іншого користувача та обійти звичайний, але тривалий протокол автентифікації MySQL .

Такі гранти проксі можуть бути дією для безпеки, якби хтось знав про це і почав цим користуватися. Найшвидший спосіб деактивувати це було б запустити

TRUNCATE TABLE mysql.proxies_priv;
FLUSH PRIVILEGES;

Це знищить поточні права доступу до проксі.

Після цього, якщо ви хочете обмежити привілеї проксі, перейдіть до ОС і виконайте це:

cd /var/lib/mysql/mysql
chmod -w proxies_priv.*

Це запобіжить створенню нових привілеїв проксі.

СПРОБУВАТИ !!!

RolandoMySQLDBA
джерело
1
Що робити, якщо щось зламається, якщо я усікаю стіл? Я можу перед тим, як обрізати - експортувати його, і якщо щось зламається, то знову вставити ці рядки, і якщо все сподівається, я сподіваюся. Я бачу, що в таблиці є 2 коси.
Дарій.V
Мої колеги кажуть, що в безпеці немає діри, тому що це корінь і він все-таки має всі права. Але, можливо, вони не зрозуміли, чому я запитую - чи можу я зв’язатися з яким-небудь некорінним користувачем як користувач root, тому що є проксі, а потім мати права?
Дарій.V
Примітка: ця відповідь не показує, як використовувати функцію проксі
Аластер Ірвін
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.