mysqladmin用户帐户不安全？

Question

我仍然在玩我自己的DB，试图学习并看到以下内容：

1. 我可以在没有问题的情况下更改根密码.如果我在服务器上，我可以创建一个算法来开始测试密码，总有一天我会找到它，我的意思是：Web-Services-iMac-2:~ jbolivar$ mysqladmin -utest1 -p**SOME_THING_HERE** password test1。
2. 用以下方式更改密码可以吗？：user=‘test 1’的更新表mysql.user set password=PASSWORD('test')；

此外，如果我创建一个字典表(一个包含所有可能单词的表)并应用密码(“word”)，我可以进行连接并找到任何pass的值，对吗？你能告诉我你对我的分析的看法吗？

Answer 1

在继续使用mysqladmin之前，需要确保安装没有故意泄露访问权限。

首先，您可以像这样登录mysql吗？

# mysql <hit enter>

如果您可以这样做，请运行以下命令：

SELECT USER(),CURRENT_USER();

• 用户()报告您如何尝试在MySQL中进行身份验证。
• 当前_用户()报告如何允许您在MySQL中进行身份验证。

如果CURRENT_USER()返回用户和主机(用户为空)，则允许您作为匿名用户进入。此时，您可以使用以下内容删除匿名用户：

DELETE FROM mysql.user WHERE user='';
FLUSH PRIVILEGES;

现在，找到所有没有密码的用户，如下所示：

SELECT user,host,password FROM mysql.user;

如果任何用户没有密码，您可以使用mysqladmin为用户发出新密码，也可以按以下方式分配它们：

UPDATE mysql.user SET password=PASSWORD('whateverpassword') WHERE user='...' AND host='...';
FLUSH PRIVILEGES;

现在，检查远程用户。

SELECT user,host FROM mysql.user WHERE host='%';

如果你看到任何，运行这个：

DELETE FROM mysql.user WHERE host='%';
FLUSH PRIVILEGES;

确保所有这些都在说和做时至少存在root@localhost和/或root@127.0.0.1，并有密码

SELECT user,host,password FROM mysql.user WHERE user='root';

我可能还能继续。以下是我有关于这样的东西的其他帖子：

• 无法从mysql.user删除匿名用户
• MySQL错误:用户‘a’@‘localhost’的访问被拒绝(使用密码:是)
• 远程mysql的phpMyAdmin旁边的安全方法
• MySQL :为什么mysql.db中有“测试”条目？