phpMyAdmin 3 und ein leeres root Passwort

Heute hatte ich mal wieder die Ehre einen Debian Etch Webserver aufzusetzten. Standardmäßig mit apt-get install mysql-server-5.0 Mysql installiert, das neueste stabile phpMyadmin in /var/www entpackt und eingerichtet. Da Mysql5 unter Etch bei der Installation standardmäßig kein root Passwort abfragt wollte ich das schnell per phpMyAdmin machen musste jedoch feststellen dass dies nicht ging.

In der phpMyAdmin Dokumentation fand sich den auch der Grund, der Login mit leeren Passwörtern ist ab Version 3 per default nicht gestattet:

http://www.phpmyadmin.net/documentation/#config

Die Einstellung um dies zu deaktivieren lautet:

$cfg['Servers'][$i]['nopassword'] = true;

Allow attempt to log in without password when a login with password fails. This can be used together with http authentication, when authentication is done some other way and phpMyAdmin gets user name from auth and uses empty password for connecting to MySQL. Password login is still tried first, but as fallback, no password method is tried.

Ich finde diese Einstellung macht Sinn da es sonst bei einer unbewussten Installation von Mysql einem möglichen Angreifer ein unnötiges Tor öffnet.

No related posts.


Geschrieben am Dienstag, 24. Februar 2009 und abgelegt unter PHP, Security. Verfolgen Sie die Diskussion zu diesem Beitrag per RSS 2.0 Feed. Die Kommentarfunktion wurde deaktiviert. Auch das "Anpingen" des Beitrages ist nicht möglich.

 
« Wie schnell Computerzeitschriften doch zu Altpapier werden
Server Response mitten im POST File Upload »
 
 

Die Kommentarfunktion zu diesem Beitrag wurde deaktiviert.