Hoi allemaal,

Ik weet niet of security een issue is bij andere <a href="http://nl.wikipedia.org/wiki/DreamBox" target="_blank">DreamBox</a>-gebruikers (verwacht 't niet...), maar ik zag bij toeval dat het account 'mysql' dezelfde rechten heeft als 'root' (UID 0) (in het Hydra Altantis image voor de 56x0). Op dit account zit geen paswoord, dus als je hackende kids in huis hebt kun je hier misschien beter ff een paswoordje op zetten (#passwd mysql). Feit blijft wel natuurlijk dat 't account 'mysql' op de db acteert als 'root'. Om dat te voorkomen kun je aan 'mysql' een eigen (unieke) UID worden toekennen (3e veld in de /etc/passwd, ':' is de separator).

Misschien dat 't ook wel zo hoort, maar dan kun je net zo goed user 'root' gebruiken lijkt me...

Bedankt, goeie tip zeg....

De Hydra Dianne 1.05 (voor de 56x0) heeft ook een user 'mysql' met UID 0 (=root) zonder paswoord.
Test 't maar 's: ff telnetje opzetten en inloggen met 'mysql'. Je zult zien dat er geen paswoord wordt gevraagd en als je het commando 'id' uitvoert zul je zien dat je 'root' bent.....
Mijn eerdere suggestie om het UID te wijzigen werkt niet. Schijnbaar heeft alleen de root (UID=0) rechten om de /bin/sh te gebruiken.....

Een optie dus om de boel 'dicht te timmeren' is om er een paswoord op te zetten (telnet verbinding opzetten (als root) en dan op de prompt het volgende intypen: passwd mysql
Je kunt dan vervolgens 2 x een nieuw te bedenken paswoord invoeren.

De 2e optie is om in de /etc/passwd file de /bin/sh te vervangen door /bin/false (uiteraard alleen voor de regel die begint met 'mysql').
Het account 'mysql' kan dan niet meer inloggen via telnet en ftp.
Ik raad dit niet aan hoor; editten in de passwd file is erg gevaarlijk !
Gaat er iets fout dan kent de db in het slechtste geval zelfs de user 'root' niet meer en kun je dus niks meer.....

Helemaal geweldig toch hé, iemand die dat Linux allemaal snapt. Ik denk dat we hier een nieuwe image-creator hebben voor later

FreeSat