1-8 加強資料庫安全性

一、緣起

1. 於2023-08-02下午應該許多學校或單位都有收到這樣的通知：
2. 先說明一下，這只是通告，並非真的有被入侵。
3. pma.php是在站長工具箱內，也就「資料庫管理」的導引程式。該程式是用來呼叫最新版的 adminer 4.81，並加入官方外掛用的。
4. 「Adminer development priorities are: 1. Security, 2. User experience, 3. Performance, 4. Feature set, 5. Size.」這是他們的開發宗旨，第一點就是Security（安全）。到目前為止，尚無發現 4.81版有任何資安問題（參見此處）
5. 根據文意，看起來重點應該是這句『該頁面若使用預設密碼或遭暴力密碼破解成功，攻擊者將得到系統完整控制權』。
6. adminer.php 其實只是為文字界面的MySQL，提供一個圖形操作界面而已，所以，登入的帳密，就是資料庫帳密。不過，MySQL沒有所謂的「預設密碼」，因此，若容易被暴力破解，只有「弱密碼」這個可能性而已。

二、如何應對？

1. 若很急，先改掉 modules/tad_adm/pma.php 的檔名，例如（不過這屬於鴕鳥心態，就是不讓弱掃單位掃到而已）
2. 可改掉網站的資料庫帳密即可，朝著「不使用root帳號」、「超級麻煩的密碼」的方向來設定即可。

三、建立資料庫新帳號

1. 點擊「歡迎XXX→資料庫管理」
   
2. 然後用資料庫密碼登入之（伺服器 99% 都是localhost，台南市例外，因為網站和資料庫並不在同一臺機器上）。
   
3. 點擊學校用的資料庫
   
4. 點擊「權限」
   
5. 點擊「建立使用者」（如果你有權限建立的話，再往下做即可。若是沒權限，那就表示不關您的事...）
   
6. 輸入帳號密碼，密碼越長越好（Hashed別勾），加點大小寫和特殊符號更佳，「All privileges」記得勾才有全部權限，設好後，下方按「儲存」
   
7. 此時，應該可以看見使用者列表有您剛剛新建的帳號。
   

四、修改 XOOPS 的 secure.php 檔設定

1. 切到「站長工具箱」的前台，找到「 xoops_data 路徑」的值
   
2. 接著用ssh或filezilla軟體想辦法開啟「/xoops_data路徑/data/secure.php」這個檔，這是資料庫的設定檔
   
3. 修改「XOOPS_DB_USER」及「XOOPS_DB_PASS」的值，儲存即完成。
   
4. 接著，只要回到網站，看看是否可以正常呈現即可。
5. 最後，透過 「SQL命令」來修改root密碼：

   ALTER USER 'root'@'localhost' IDENTIFIED WITH mysql_native_password BY 'root的密碼';
   FLUSH PRIVILEGES;

   若上述語法不行（5.5.5-10.4.30-MariaDB），請試試下面語法：

   ALTER USER 'root'@'localhost' IDENTIFIED BY 'root新密碼';
   FLUSH PRIVILEGES;

   若還不行（5.5.68-MariaDB），用這個

   use mysql;
   UPDATE mysql.user SET Password=PASSWORD('root新密碼') WHERE User='root';
   UPDATE user set plugin='' where User='root';
   FLUSH PRIVILEGES;

    

五、常見問答

1. 在XOOPS網站中各模組、MYSQL是否仍需要用root帳號去進行驗證才能使用？
   答：沒有一定要用root喔～
2. pma.php剛剛確認是在tad admin內，如果刪除是否會影響到其他系統運作？
   答：tad_adm及 tad_admin 都有 pma.php，刪除不影響網站（因為本來就跟XOOPS無直接關係），只是會比較不方便而已（得自己裝個資料庫管理工具，如 phpMyAdmin）。
3. 關閉目錄瀏覽功能是否影響到網站運作。
   答：不會，而且本來就應該關閉，打開才是有問題的阿！！！！