A resposta para isso é que a conta debian-sys-maint
é uma falsificação.
O fenômeno que eu estava vendo era um usuário "anônimo" do MySQL.
Isso é respondido por estas duas perguntas, assim como as minhas, que eu publiquei ontem:
Com uma nova (mas antiga) instalação do Ubuntu e do MySQL, descobri que podia acessar o MySQL via cliente de linha de comando sem ser solicitado por nenhum usuário ou senha.
Isso me incomodou como a situação padrão, e eu tentei investigar isso. O login como root exigiu a senha de root. Mas o login sem especificar o usuário (ou seja, apenas digitando mysql
na linha de comando) não me pediu nem usuário nem senha.
Acho que rastreei isso para o usuário debian-sys-maint
, que parece ter permissões completas do MySQL, por um lado, e também é o usuário padrão do cliente, conforme definido em /etc/mysql/debian.cnf
do outro.
Meu primeiro instinto foi me livrar completamente do usuário, porque isso parecia uma falha de segurança para mim, mas ao ler, incluindo as postagens abaixo, parece que debian-sys-maint
é necessário.
Então, meu plano é tentar o seguinte:
REVOKE ALL PRIVILEGES, GRANT OPTION FROM 'debian-sys-maint';
GRANT RELOAD on *.* TO 'debian-sys-maint'@'localhost' IDENTIFIED BY 'xxxxxx';
FLUSH PRIVILEGES;
Alguém pode comentar isso como a maneira recomendada / esperada / correta de proteger uma instalação padrão do MySQL?
Também devo alterar /etc/mysql/debian.cnf
para remover esta seção?
[client]
host = localhost
user = debian-sys-maint
password = xxxxxx
socket = /var/run/mysqld/mysqld.sock
(avisa: # Automatically generated for Debian scripts. DO NOT TOUCH!
)
Eu pretendo substituí-lo com minha própria seção ~/.my.cnf
client de qualquer maneira.
Atualização:
As permissões em /etc/mysql/debian.cnf
são:
-rw------- 1 root root 312 2012-05-20 23:07 /etc/mysql/debian.cnf
Referências:
A resposta para isso é que a conta debian-sys-maint
é uma falsificação.
O fenômeno que eu estava vendo era um usuário "anônimo" do MySQL.
Isso é respondido por estas duas perguntas, assim como as minhas, que eu publiquei ontem:
Tags mysql security user-accounts