弱口令及安全加固

2021-08-20 08:55:13 字數 1586 閱讀 7357

通常認為容易被別人(他們有可能對你很了解)猜測到或被破解工具破解的口令均為弱口令。
常見弱口令有:
1、數字或字母連排或混排,鍵盤字母連排(如:123456,abcdef,123abc,qwerty,1qaz2wsx等);

2、系統預設賬號密碼(如:tomcat/tomcat等);

3、短語密碼(如:5201314,woaini1314等)。

弱口令很容易被他人猜到或破解,所以如果你使用弱口令,就像把家門鑰匙放在家門口的墊子下面,這種行為是非常危險的。

phpmyadmin是一款流行的資料庫管理系統,如果口令設定過於簡單,攻擊者可以登入到系統,對資料庫進行任意增、刪、改等高風險惡意操作,從而導致資料洩露或其他入侵事件發生,安全風險高。根據通常的業務需求,資料庫管理後台主要方便的為資料庫管理員、開發人員服務,使用人員範圍小,一旦對外網全部開放,將可能會造成嚴重的資料洩露事件發生。所以在部署安裝完畢後,我們應該對phpmyadmin管理控制台進行安全加固,具體如下:
(1).網路訪問控制策略

限制訪問人員 ip 配置phpmyadmin

您可以使用雲伺服器提供的安全組防火牆策略對訪問源ip位址進行限制,避免不必要的人員訪問資料庫管理後台。

phpmyadmin預設也提供了訪問控制功能,具體配置如下:

進入phpmyadmin目錄,找到config.inc.php,如果沒有,可以將根目錄下的config.sample.inc.php複製為config.inc.php。

$ip_prefix = '192.168.0.1';

if (substr($_server['remote_addr'], 0, strlen($ip_prefix)) != $ip_prefix ) die('access denied');

(2).賬號與口令安全策略

設定強度複雜的口令,可以有效避免被攻擊者輕易猜解成功,設定完畢後無需重啟服務,及時生效;

根據使用人員角色對資料庫賬號進行精細化授權,防止運維風險;

修復方案

修改axis2預設賬戶名與口令,具體位置在axis2中的conf.xml文件中,修改如下兩行**。

admin

axis2

如:海康威視攝像頭弱口令、銳捷ac弱口令、jboss弱口令、grafana 弱口令、weblogic弱口令、cisco_web弱口令、sql server弱口令 、ftp弱口令 、jboss弱口令、redis弱口令、glassfish弱口令、wordpress弱口令、postgressql弱口令、smb弱口令、ssh弱口令、mysql弱口令、resin控制台弱口令、tomcat弱口令等

安全建議

1、針對管理人員,應強制其賬號密碼強度必須達到一定的級別;

2、建議密碼長度不少於8位,且密碼中至少包含數字、字母和符號;

3、不同**應使用不同的密碼,以免遭受「撞庫攻擊」;

4、 避免使用生日,姓名等資訊做密碼,遠離社工危害。

mysql加固口令 MySQL服務安全加固

資料庫管理人員可以參考本文件進行 mysql 資料庫系統的安全配置加固,提高資料庫的安全性,確保資料庫服務穩定 安全 可靠地執行。1.禁止 mysql 以管理員帳號許可權執行 以普通帳戶安全執行 mysqld,禁止以管理員帳號許可權執行 mysql 服務。在 etc my.cnf 配置檔案中進行以下...

弱口令總結(什麼是弱口令)

空口令 口令長度小於8 口令不應該為連續的某個字元 qqqqqq 賬號密碼相同 例 root root 口令與賬號相反 例 root toor 口令純數字 例 112312324234,號 口令純字母 例 asdjfhask 口令已數字代替字母 例 hello word,hell0 w0rd 口令採...

sql弱口令入侵

sql弱口令入侵 mssql伺服器sa使用者弱口令入侵是及其經典的一種黑客入侵手法 其成名是在中美黑客大戰的時候,我們的前輩利用它入侵了很多美國鬼 子的伺服器。下面我介紹一下這種入侵的詳細情況。基礎知識 我們在安裝mssql伺服器之後,系統會有個預設的帳號sa 而這個帳號預設又是空密碼。最要命的是這...