{"id":765,"date":"2010-08-09T08:45:54","date_gmt":"2010-08-09T11:45:54","guid":{"rendered":"https:\/\/www.talsoft-security.com\/site\/?p=765"},"modified":"2010-08-09T08:45:54","modified_gmt":"2010-08-09T11:45:54","slug":"fortificacion-de-mysql-13-2","status":"publish","type":"post","link":"https:\/\/www.talsoft-security.com\/site\/fortificacion-de-mysql-13-2\/","title":{"rendered":"Fortificaci\u00f3n de MySQL – 1\/3"},"content":{"rendered":"
MySQL se ha convertido en el motor de bases de datos m\u00e1s usado y potente del mundo opensource. Pero debido a la versatilidad que ofrece,\u00a0 la configuraci\u00f3n por defecto en los paquetes de distribuci\u00f3n y el suyo propio no considera todos los aspectos de seguridad que se han de contemplar en un entorno controlado.<\/div>\n
Las siguientes entradas pretenden enumerar brevemente cuales son los puntos m\u00e1s importantes que se deber\u00edan revisar en una implantaci\u00f3n segura de esta aplicaci\u00f3n.<\/div>\n
El archivo de configuraci\u00f3n de MySQL se encuentra en el archivo: “C:\\Program Files\\MySQL\\MySQL Server 5.x<\/em>” en el caso de Windows o \/etc\/mysql\/my.cnf <\/em>en el caso de sistemas Linux.<\/div>\n
1.- Restringir o deshabilitar el acceso mediante red<\/strong>: si el servicio se encuentra en el mismo equipo que la aplicaci\u00f3n que realiza las consultas no es necesario que mysql escuche peticiones en todos los interfaces de red. Una de las medidas m\u00e1s importantes es dejar \u00fanicamente el puerto abierto en aquellas IPs donde sea estrictamente necesario. Para efectuar este cambio y que solo se pueda conectar localmente, en la secci\u00f3n [mysqld] <\/em>indicar:<\/div>\n
[mysqld]\r\nbind-address=127.0.0.1\r\n<\/pre>\n
Si por el contrario queremos deshabilitar por completo el acceso  mediante un socket de red, basta con a\u00f1adir la directiva skip-network:<\/p>\n
[mysqld]\r\nskip-networking\r\n<\/pre>\n
Por \u00faltimo, si se ha de utilizar el servicio en remoto, todos los  usuarios de las aplicaciones que conecten deben estar limitados mediante  su direcci\u00f3n de origen (host). Desde el prompt de mysql:<\/p>\n
mysql> GRANT SELECT, INSERT ON basededatos.* TO 'usuario'@'host';\r\n<\/pre>\n
2.- Eliminar el acceso a la tabla “user” de la base de datos a todos los usuarios excepto los de administraci\u00f3n:<\/strong> de esta forma otros usuarios del motor no podr\u00e1n consultar las contrase\u00f1as y accesos que contiene MySQL.<\/p>\n
Para ver los privilegios de un usuario:<\/p>\n
mysql> SHOW GRANTS FOR 'usuario'@'host';\r\n<\/pre>\n
Para eliminar privilegios:<\/p>\n
mysql> REVOKE ALL PRIVILEGES, GRANT OPTION FROM usuario;\r\n<\/pre>\n
3.- Deshabilitar el uso de LOCAL INFILE: <\/strong>mediante estos permisos  se pueden leer ficheros del sistema operativo desde la base de datos,  algo com\u00fan cuando se explota una inyecci\u00f3n de c\u00f3digo SQL. Para  deshabilitar esta funci\u00f3n se configura la variable local-infile a 0:<\/p>\n
[mysqld]\r\nset-variable=local-infile=0\r\n<\/pre>\n
4.- Cambio de nombre de usuario root y su contrase\u00f1a:<\/strong> al igual  que en los sistemas operativos, se recomienda que el administrador de la  base de datos no sea el usuario root y mantenga una contrase\u00f1a segura.  Si MySQL es una versi\u00f3n superior a 5.0.2<\/p>\n
mysql> RENAME USER root TO r00tz\r\n<\/pre>\n
En caso de que la versi\u00f3n de MySQL sea inferior:<\/p>\n
mysql> use mysql;\r\nmysql> update user set user=\"nuevousuario\" where user=\"root\";\r\nmysql> flush privileges;\r\n<\/pre>\n
Para modificar la contrase\u00f1a de un usuario se puede utilizar el comando mysqladmin o se puede hacer mediante SQL:<\/p>\n
mysql> use mysql;\r\nmysql> SET PASSWORD FOR 'username'@'%hostname' = PASSWORD('newpass');\r\n<\/pre>\n
5.- Eliminar la base de datos “test”:<\/strong> que se distribuye con el servicio y no es necesaria. Para hacerlo directamente en SQL:<\/p>\n
mysql> drop database test;\r\n<\/pre>\n
O mediante l\u00ednea de comandos:<\/p>\n
shell> mysqladmin -u username -p drop test\u00a0\r\n<\/pre>\n
6.- Eliminaci\u00f3n de cuentas obsoletas y acceso an\u00f3nimo:<\/strong> que son creadas en algunas instalaciones de MySQL, para comprobar si existen este tipo de usuarios:<\/p>\n
mysql> select * from mysql.user where user=\"\";\r\n<\/pre>\n
Si se muestran usuarios, se pueden eliminar mediante DROP USER (en MySQL 5)<\/p>\n
mysql> DROP USER \"\";\r\n<\/pre>\n
Si la versi\u00f3n de MySQL es inferior a 5.0:<\/p>\n
mysql> use mysql;\r\nmysql> DELETE FROM user WHERE user=\"\";\r\nmysql> flush privileges;\r\n<\/pre>\n
Referencias:<\/strong><\/p>\n