前言
人都说学的越多,不懂的东西也就越多,很多人都会有这个感受,面对信息爆炸的互联网时代,有种“学不完,根本学不完”沧桑无力感,最近有关服务器安全的了解又扩展了我的知识面,填补了部分认知盲区,究竟什么是服务器安全?
MySQL数据库的安全
这是前段时间的疑问,《linux环境下如果掌控了系统root账户就能对上面安装的MySQL数据为所欲为了吗》,当时出现这个疑问是因为安装完MySQL数据库,提示我有这样一样配置文件 /etc/mysql/debian.cnf,打开文件内容展示如下:
# Automatically generated for Debian scripts. DO NOT TOUCH!
[client]
host = localhost
user = debian-sys-maint
password = xg9vyvjNly3vUSsm
socket = /var/run/mysqld/mysqld.sock
[mysql_upgrade]
host = localhost
user = debian-sys-maint
password = xg9vyvjNly3vUSsm
socket = /var/run/mysqld/mysqld.sock
明明白白的写着用户名和密码,当时感觉不可思议,这数据库不是轻松就被破解了吗?事实确实如此,因为你是root用户,即便没有这个配置文件,你也可以通过修改MySQL配置重启服务来跳过密码,所以如果你拿到root密码,那么你就是这服务器世界的主宰,你就可以为所欲为。
物理服务器
假设你没有服务器root用户密码,或者忘记了服务器root密码要怎么办呢?你可以在开机的时候按e修改grub的kernel行到single模式下,就可以轻易获得root权限,并且能够改root密码,有没有颠覆你的认知。什么?任何人只要重启下服务器就把我的root密码改了?这是真的吗?这确实是真的。
下面我摘录了一些网友的回复,挺逗的,但仔细想想说的很有道理
这个事吧,放在机房的玩意有个不成文的规矩:能物理摸到的设备都允许你重置密码。
90年代的一句老话:能物理摸到设备的人,都可以看作是这台设备的主人。
Linux:我就是一个软件,你搞物理袭击,讲武德吗?
退一万步说,就算在机器旁边也不能重设密码,那把硬盘拆了拿回去不也一样?
日常运维或者使用当中需要面临的更大的挑战是丢失了,改错了密码。从我的经验来看,丢失密码的机会比丢失硬件的机会大至少100倍
比如海底电缆可以被剪断,怎么保证安全性?
为什么要这样设计呢?仔细想想也能明白个大概,就是能触碰到物理机的人一定默认拥有所有权,他去改密码一定是到了不得不改的情况,如果你非说改密码的人是偷偷进去的,那是保安的责任,Linux系统不背这个锅!
机器设计有一个规矩就是机器的物理持有者对机器拥有事实上的超管理员权限。比如说路由器背后的reset。比如说主板cmos清除针。因为事实上,管理员忘记密码往往比密码受到黑客攻击更常见,造成的损失也更大。至于提数据加密的,那是另一个话题,我们这里说的是操作权。黑客无法窃取你用bitlocker加密的数据,但这不妨碍他把你数据删光,所以从这个角度上,bitlocker不能保证你的数据安全,它保证的只是不泄密。
所以看到这些是不是就释然了,系统保证的安全是建立在物理机安全的基础之上的,连机器都在人家手里,还谈什么安全呢?
总结
- 在Linux系统上如果登录了root用户就可以为所欲为进入任何一个MySQL数据库
- 如果摸到了物理服务器默认你就是它的主人,你可以通过很便捷的方式来修改它的密码
- 物理安全是信息安全基础,Linux就是一个软件,你搞物理偷袭它可扛不住
凡是人总有取舍,你取了你认为重要的东西,舍弃了我,这只是你的选择而已,若是我因为没有被选择,就心生怨恨,那这世界岂不是有太多不可原谅之处,毕竟谁也没有责任要以我为先,以我为重,无论我如何希望也不能强求。
