Aide Wamp

Invité

Bonjour à tous,

j'ai wamp 2.0 pour gerer mon serveur, mais il me dit :

Code:: Votre fichier de configuration fait référence à l'utilisateur root sans mot de passe, ce qui correspond à la valeur par défaut de MySQL. Votre serveur MySQL est donc ouvert aux intrusions, et vous devriez corriger ce problème de sécurité.

Donc j'ai rajouter un autre utilisateur avec mot de passe dans la partie privilège mais maintenant comment supprimer root ? sans que cela pose de problèmes ?

Merci d'avance.

Sujet: Re: Aide Wamp 09/07/08, 12:24 pm

Je ne suis pas sûr de cette réponse, mais dans la base de donnée "mysql", va dans la table "user" et supprime la ligne dont le login vaut "root".

Sujet: Re: Aide Wamp 24/11/08, 05:28 pm

Je relance le sujet puisque je vois qu'il a été abandonné, je suis victime du même problème : que ce soit avec Wamp ou avec Easy PhP, le même message s'affiche.
J'ai supprimé les lignes dont le login vaut root après avoir créé un nouveau utilisateur avec mot de passe.
Résultat : Je ne peux plus accéder à ma base de donné "mysql", elle n'apparait plus et le message persiste.

Merci d'avance de vos conseils Smile

.

Edit : Après réinstallation de Wamp et de EasyPHP j'ai à nouveau accès à la base de donnée mais le message est encore et toujours la...

Sujet: Re: Aide Wamp 24/11/08, 05:43 pm

Tu utilise phpMyAdmin donc dès que tu te connecte, va dans privilèges et modifie le mot de passe du compte root.
Ne supprime pas le compte root, c'est le compte administrateur !

Nombre de messages : 47 Date d'inscription : 22/10/2008

Tu ouvres C:\wamp\apps\phpmyadmin2.11.6\config.inc.php ensuite:

Citation :: $cfg['Servers'][$i]['auth_type'] = 'config'; // Authentication method (config, http or cookie based)?
$cfg['Servers'][$i]['user'] = 'root'; // MySQL user
$cfg['Servers'][$i]['password'] = 'TonMotDePass'; // MySQL password (only needed

Et apres tu regles les privileges Wink

Sujet: Re: Aide Wamp 24/11/08, 05:58 pm

Merci beaucoup. What a Face

Nombre de messages : 570 Date d'inscription : 17/03/2007

Divinity a écrit:: Je ne suis pas sûr de cette réponse, mais dans la base de donnée "mysql", va dans la table "user" et supprime la ligne dont le login vaut "root".

A faire une fois un autre utilisateur est enregistré... Sinon badaboum

Nombre de messages : 570 Date d'inscription : 17/03/2007

alfo a écrit:: Tu utilise phpMyAdmin donc dès que tu te connecte, va dans privilèges et modifie le mot de passe du compte root.
Ne supprime pas le compte root, c'est le compte administrateur !

On peut très bien créer un autre compte avec les droits d'administrateur. Tout login = ROOT est à bannir...

Sujet: Re: Aide Wamp 24/11/08, 06:40 pm

Biensur mais après on rentre dans le complexe.
Pour une utilisation basique, je propose de laisser root, avec biensur un mot de passe complexe.
Perso sur mon dédié la parade est simple, je laisse root mais je bloque mysql pour tout accès distant.

Sujet: Re: Aide Wamp 24/11/08, 08:27 pm

Salutation,

Citation :: Biensur mais après on rentre dans le complexe.

Je ne vois pas ce qu'il y a vraiment de complexe que de changer "quelques lettres" à la place d'un login d'origine. Faut juste se donner un petit peu la peine un minimum. Cela permettra une meilleur sécurité des informations de tes données.

Citation :: Tout login = ROOT est à bannir...

Un peu comme "admin" et compagnie ;P~~.

Amicalement

Sujet: Re: Aide Wamp 24/11/08, 10:28 pm

root est par defaut le compte qui a tout les privilege un bon mot de passe d'une 15aine de caractere minimum non memorisable (sauf pour un elephant) et l'interdiction de l'acces distant sont des securiter amplement suffisante ce compte pour mysql a aussi son importance c'est le seul compte dont on peut recuperai (par une methode sur la machine local) le mot de passe sans en avoir un autre. donc moi je recomande vivement de garder ce compte.(qui n'ais pas seulment utiliser par phpmyadmin...)
et de cree de(s) compte(s) avec l'acces distant et avec des droit bien distinc sur chacune des base que comporte le serveur mysql.

Sujet: Re: Aide Wamp 24/11/08, 11:05 pm

avant tout, en soit ça s'apelle pas un problème

Citation :: ce qui correspond à la valeur par défaut de MySQL

c'est déconseillé en mode En Ligne car n'importe qui pourrais faire n'importe quoi avec ta base de donnée pirat

[troll]faut savoir que par convention le root c'est le superuser (administrateur) des systèmes à base UNIX et l'intelligence veut qu'on installe Apache / Php / Mysql sur GNU/Linux ou BSD c'est d'ailleurs bien plus simple sur ces OS[/troll]

Nombre de messages : 570 Date d'inscription : 17/03/2007

alfo a écrit:: Biensur mais après on rentre dans le complexe.

Qu'est ce qu'il faut pas entendre...

alfo a écrit:: Perso sur mon dédié la parade est simple, je laisse root mais je bloque mysql pour tout accès distant.

Je je suis sur que tu as laissé le compte compte "root" sur ton dédié en SSH ? Très sécure en effet... Belle parade !

De toute façon on accéde à ton SSH sur n'importe quel compte utilisateur "enfermé" dans ses droit, je me connecte a Mysql en ROOT, et big badaboum j'ai toute ta base, de meme si tes scripts se connectent en root à ta base, il suffit d'une faille dans un script PHP (upload, injection and co) et big badaboum... Quelle parade efficace !

Je te confirais pas la sécurité de mes serveurs au boulo...

decarvk a écrit:: donc moi je recomande vivement de garder ce compte.

Encore un avis dénué de bon sens, bravo, dites vous avez des connaissances du mot "Sécurité informatique" ? Non parce que là, ne rien y comprendre et oser dire "Je recommande vivement" alors que tu n'as aucune idée de ce que tu parles...

Je ne te confierais pas non plus la gestion de nos serveurs au boulo...

Un jour on vous verras sur vos serveurs "On a du fermé car on s'est fait hacker notre base de donnée", bas ouai fallait prendre tes précautions. En 10 minutes tu supprimes les comptes "root" et tu sécurise un minimum tes services contre des accés non autorisés...

Moralité : Quand on ne sait pas, on s'abstient de donner des conseils débiles.

Sujet: Re: Aide Wamp 25/11/08, 04:38 pm

On bloquer toute connexion au dédié par SSH avec fail2ban aussi.
Après 3 essais, plus de connexions pendant 10 minutes, et là le gars il pourra chercher longtemps le mot de passe à 18 caractères...
De plus j'ai fait attention à ce qu'aucune connexion mysql soit en root.
Je n'ai pas d'upload et le site est assez sécurisé à mon gout. Mais oui je devrais crypter toutes les connexion par SSL ...
On ne sécurise pas la NSA quand même, surtout que sur un serveur L2J et sous windows il faut trouver les failles ailleurs.
Je sais que je suis jeune et que tu as sans doute plus de compétences que moi, tu as raison oui, mais ceux qui postent des questions de ce type sont loin de mettre l'accent sur la sécurité.
Le site a sa propre connexion, le serveur de même.

Après tu va me dire qu'il y a toujours des failles, la sécurité 100% n'existe pas. Et puis, les sauvegardes ça existe aussi.

Mais on ne va pas lancer un débat sur ce sujet, je ne suis pas expert, je suis jeune et ça ne sert à rien de débattre ici.

Nombre de messages : 570 Date d'inscription : 17/03/2007

alfo a écrit:: On bloquer toute connexion au dédié par SSH avec fail2ban aussi.

Bof...

Citation :: Après 3 essais, plus de connexions pendant 10 minutes, et là le gars il pourra chercher longtemps le mot de passe à 18 caractères...

Pas besoin de craquer ton ssh pour utiliser ton système... Il n'y a pas que le ssh dans la vie. Et fail2ban est loin d'être infaillible.

De même que ce soit Linux ou Windows, il a existé des faille d'accés à des comptes sans avoir besoin du mot de passe donc bon Fail2ban... lol

Citation :: De plus j'ai fait attention à ce qu'aucune connexion mysql soit en root.

Osef, le compte existe c'est amplement suffisant pour pouvoir l'utiliser.

Citation :: Je n'ai pas d'upload et le site est assez sécurisé à mon gout.

Pas besoin d'upload pour infiltrer des scripts sur ton serveur... Si tu veux je te trouve quelques points d'intrusion sur ton site vite fait, tu trouveras plus ton site si sécurisé que ça après... Et j'suis pas un expert du hack, je sais juste ce qu'il faut faire pour éviter les "principales" attaques possibles.

Citation :: Mais oui je devrais crypter toutes les connexion par SSL ...

Tu n'as pas compris à quoi sert le SSL pour dire une connerie pareil...

Citation :: On ne sécurise pas la NSA quand même, surtout que sur un serveur L2J et sous windows il faut trouver les failles ailleurs.

Y'a des milliers de points d'entrer possible, savoir gérer les droits sur son serveur, c'est justement pour enfermer l'intrus dans ses droits et ne pas lui permettre la possibilité d'avoir des accès sensibles.

Citation :: Et puis, les sauvegardes ça existe aussi.

Les sauvegardes c'est n'est en rien une sécurité si tu réinstall ton serveur avec la même faille de sécurité... C'est comme si que tu envoyais un pavé dans la marre pour espérer faire un ras de marée...

Tu ne veux pas me croire, mais le jour ou un mec niquera ton serveur, tu te diras "Ha bah ouai si j'avais su gérer mes droits ça serait pas arriver".

Je te rappelle que quand tu lances un serveur, le joueur en face attends à avoir un serveur qui tourne, et pas un serveur qui se fait hack par un gamin de 13 ans qui a lu le dernier magasine "Hacking pour les nuls" disponible en librairie...

A bon entendeur. Si les conseils t'emmerdes, abstiens toi de faire des commentaires sans fondement et reste dans ta bulle tout le monde il beau Laughing

Parce que c'est loin d'être le cas, et surtout sur Internet.

Sujet: Re: Aide Wamp 25/11/08, 08:05 pm

Salutation,

Citation :: Mais oui je devrais crypter toutes les connexion par SSL ...

Pour plus d'informations, je vais un peu t'aider si tu veux bien.

http://fr.wikipedia.org/wiki/Transport_Layer_Security

Ou

http://www.monblog.ch/FAQ/?p=200610092030509

Ce fu un temps jadis, j'ai eu aussi honte de pas avoir mieux sécurisé les données de ma base en me disant : "mouais pas grave c'est qu'un serveur de jeu après tout, pas la peine de perdre du temps à sécuriser pour si peu". Morale de l'histoire j'avais plus rien après. Enfin bref je vais pas rentrer dans les détails, je t'invite à mieux re-situer non seulement tes informations ainsi que tes possibilités sur la mise en place de tes sécurités.

Car on ne le re-dira jamais assez, sur l'internet, nous sommes jamais sur de rien.

Citation :: Mais on ne va pas lancer un débat sur ce sujet, je ne suis pas expert, je suis jeune et ça ne sert à rien de débattre ici.

Si je puis me permettre, c'est le but même en partie d'un forum non? Expliquez, débattre, confronter des idées, partager etc... Toute fois je l'accorde le post, ou la section n'est pas forcement adéquate.

Citation :: je suis jeune

Je connais des anciens du 3ème âge qui sont pas très compétants en informatique dont je suis sur que toi même tu es plus doué qu'eux. Mais je connais aussi un jeune de 13 ans qui connait sans soucis l'interêt et le fonctionnement d'une programmation "d'assembleur" pour les modèles des CPU.

L'âge ne fait pas l'habille du moine. <-- Nouvelle expression à la Yoco xD**

Amicalement

Sujet: Re: Aide Wamp 25/11/08, 08:30 pm

On va me prendre pour un rageux mais...

Quand on regarde les serveurs, une grande partie des administrateurs n'y connaissent rien et bien souvent hébergent leur serveur sur leur ordi laissant ainsi plein de faille s'il héberge sur un poste tournant avec tous ses programmes habituels.
Tout ça pour dire que OUI il est recommandé de changer le login administrateur que ce soit MySQL ou tout autre mais combien le font ?
Ceux qui s'y connaissent un minimum, mais tous les autres utilise "bêtement" wamp sur leur windows.

Mais il faut pas oublié que la faille peux venir de son staff lui-même. J'en est pas fait l'expérience fort heureusement mais oui Yoco le risque existe et est de plus en plus grand au fur et à mesure que le serveur grandi.

Citation :: Si je puis me permettre, c'est le but même en partie d'un forum non? Expliquez, débattre, confronter des idées, partager etc...

Oui c'est le but, c'est vrai mais la réponse au débat est claire : Quitte à perdre de temps, il faut sécuriser son serveur. Je ne dirais pas le contraire.

Mais ce que j'ai voulu dire, et je me suis sans doute mal exprimé c'est qu'il y a d'autres priorités. Déjà, pour les admins boulet il faudrait penser un peu à éviter les Injections SQL et mettre un mot de passe compliqué car beaucoup on un mot de passe trop simple : date de naissance+région, mot du dictionnaire, ....
Certes il est important de changer root/admin mais pour y mettre quoi ?
Certains, peu j'espère, mettrons leur pseudo à la place. C'est "inutile", vous le savez.

Voila, j'espère m'etre exprimé plus clairement, je ne réfute pas vos idées qui sont vraies mais je voulais juste faire ressortir les priorités.

PS : Pour le SSL, autant pour moi. Je mourrais moins idiot ^^

Nombre de messages : 95 Date d'inscription : 14/05/2007

Citation :: il y a d'autres priorités

C'est quand même le PLUS important je penses non?

Citation :: Déjà, pour les admins boulet il faudrait penser un peu à éviter les Injections SQL et mettre un mot de passe compliqué

Quel rapport?

Citation :: Certes il est important de changer root/admin mais pour y mettre quoi ?

Totodu75 par exemple.

Bref la sécurité c'est quand même la priorité, c'est comme dans la vie quoi ^^

Amicalement,
Silver,

Sujet: Re: Aide Wamp 26/11/08, 08:08 pm

Je me permet de rajouter un petit lien qui m'a permis de faire cette manipulation avec Easyphp (mon easyphp n'avait pas de fichier config par contre O.o) et de m'en sortir mieux qu'avec Wamp puisque j'ai toujours pas réussi, noobitude powa....

Tuto config avec easyphp

» aide cration d'event
» Aide pour les skills
» (Aide) - projet Elysion