phpBB.de

chriskuku hat geschrieben:Ist mir schon klar. Nur daß da das root Paßwort der Datenbank steht, ist etwas irritierend. Oder kann man auch einen
weniger privilegierten Benutzer dort eintragen, der beispielsweise nur Rechte auf die forum-DB hat?

Was wieso ist das irritierend?
Was für ein Passwort soll denn dort sonst drin stehen?
Hat deine Datenbank für das Forum etwa mehrere Passwörter? Falls ja wäre das ziemlich eigenartig und unnormal!

Irgendwie kann ich dein Problem gerade nicht ganz nachvollziehen.

chriskuku hat geschrieben:Dann wären andere Datenbanken etwas sicherer vor unerlaubtem Zugriff. Aber das nur am Rande.

Was haben nun auch noch andere Datenbanken mit den Zugangsdaten der eigenen zu tun?
Und wer sagt das es so, wie es standardmäßig ist, unsicher ist?
Hast du dazu mein geposteten Link verfolgt?

Ich mein wie stellst du dir das anders vor, damit sich das Script in die Datenabnk einloggen kann?

hackepeter13 hat geschrieben: Hat deine Datenbank für das Forum etwa mehrere Passwörter? Falls ja wäre das ziemlich eigenartig und unnormal!

Irgendwie kann ich dein Problem gerade nicht ganz nachvollziehen.

Nein, aber ich habe mehrere Datenbanken in mysql und ich will nicht, daß der *root* User sich von phpbb3 in die DB-einloggt. Dies könnte von mir aus ein eigens eingerichteter User "phpbb3" sein, der Vollzugriff auf die DB namens "forum" hat, aber sonst nicht über den eigenen Tellerrand hinausschauen kann.

Dies könnte man leicht so einrichten. Vielleicht ist es sogar in der Installation vorgesehen und ich habe es nur übersehen.

--
Christoph

chriskuku hat geschrieben: ich will nicht, daß der *root* User sich von phpbb3 in die DB-einloggt. Dies könnte von mir aus ein eigens eingerichteter User "phpbb3" sein, der Vollzugriff auf die DB namens "forum" hat, aber sonst nicht über den eigenen Tellerrand hinausschauen kann.

Irgendwie versteh ich nicht was du damit sagen willst?!

Was für ein root-User?
Ein User im phpBB3 Forum, kann sich doch nicht in deine Datenbank einloggen.
Die Zugangsdaten in der config.php sind nur für das phpBB3-Script und nicht für irgendein User.
Kein User im Forum, kann diese Datei/Zugangsdaten einsehen.

Nur das Script, greift auf die Datenbank zu und auch nur in die Tabellen, die für das Script (hier im Fall phpBB3) zugeteilt sind, also die Tabellen mit dem zugeteilten Prefix (Standard phpbb_).

Ich kann deine Sorge/Problem nicht ganz nachvollziehen.

Hallo

chriskuku hat geschrieben:Ist mir schon klar. Nur daß da das root Paßwort der Datenbank steht, ist etwas irritierend. Oder kann man auch einen
weniger privilegierten Benutzer dort eintragen, der beispielsweise nur Rechte auf die forum-DB hat?

Du scheinst hier einiges durcheinander zu bringen. Das was du möchtest ist natürlich möglich, hat aber absolut nichts mit dem Forum an sich zu tun.
Es liegt an dir, als System-Administrator deines Servers, die Rechte (deinen Wünschen entsprechend) für deine Datenbanken zu vergeben. Du solltest dich da mal in den entsprechenden Server-Admin-Foren umschauen und entsprechende Tutorials lesen.

P.S. Wie hackepeter13 bereits schrieb, kommt ansonsten von außen niemand an das Passwort (die config.php ) heran.


Grüße: Mahony

hackepeter13 hat geschrieben:

chriskuku hat geschrieben: ich will nicht, daß der *root* User sich von phpbb3 in die DB-einloggt. Dies könnte von mir aus ein eigens eingerichteter User "phpbb3" sein, der Vollzugriff auf die DB namens "forum" hat, aber sonst nicht über den eigenen Tellerrand hinausschauen kann.

Irgendwie versteh ich nicht was du damit sagen willst?!

Was für ein root-User?
Ein User im phpBB3 Forum, kann sich doch nicht in deine Datenbank einloggen.
Die Zugangsdaten in der config.php sind nur für das phpBB3-Script und nicht für irgendein User.
Kein User im Forum, kann diese Datei/Zugangsdaten einsehen.

Oh Mann, Du kommst hier auf Ideen.
Ich habe niemals von Forumsbenutzern gesprochen.


Ich meine den User, unter dem sich das phpBB3 in die Datenbank einloggt.

Ich meine die allgemeine Sicherheit:

1. DB Rootpasswort für eingeloggte Benutzer sichtbar.

2. Es tauchen immer wieder Sicherheitslücken (php) auf, da will ich nicht noch ein Tor in meine mySQL-DB aufmachen.
Ein Hacker, der phpBB3 hackt, kommt so leichter an andere Datenbanken, die unter dem jeweiligen mySQL-Server
laufen.

hackepeter13 hat geschrieben: Nur das Script, greift auf die Datenbank zu und auch nur in die Tabellen, die für das Script (hier im Fall phpBB3) zugeteilt sind, also die Tabellen mit dem zugeteilten Prefix (Standard phpbb_).

Ich kann deine Sorge/Problem nicht ganz nachvollziehen.

Mahony hat geschrieben:Hallo

chriskuku hat geschrieben:Ist mir schon klar. Nur daß da das root Paßwort der Datenbank steht, ist etwas irritierend. Oder kann man auch einen
weniger privilegierten Benutzer dort eintragen, der beispielsweise nur Rechte auf die forum-DB hat?

Du scheinst hier einiges durcheinander zu bringen. Das was du möchtest ist natürlich möglich, hat aber absolut nichts mit dem Forum an sich zu tun.
Es liegt an dir, als System-Administrator deines Servers, die Rechte (deinen Wünschen entsprechend) für deine Datenbanken zu vergeben. Du solltest dich da mal in den entsprechenden Server-Admin-Foren umschauen und entsprechende Tutorials lesen.

P.S. Wie hackepeter13 bereits schrieb, kommt ansonsten von außen niemand an das Passwort (die config.php ) heran.


Grüße: Mahony

Ich bringe hier überhaupt nichts durcheinander.

Ursprünglich suchte ich nach einer Möglichkeit, eine Nachricht (z.B. an den Foren Admin) auszulösen, wenn (irgendeine) neue Nachricht ins Forum gestellt wird.

Da verwies man mich erst mal auf 3.0.9 - da ginge das, wie es hieß - die Frage danach, wie es denn nun geht, blieb man mir schuldig.

Dabei stieß ich auf die Tatsache, daß das root Paßwort von MySQL in der config.php mit mode 644 dort prangt - für eingeloggte Benutzer lesbar, was mir (wohl mit Recht) als unsicher erscheint. Eine Alternativlösung dazu wurde aufgezeigt, die ich aber nicht weiter verfolgen wollte, weil es stattdessen doch wohl auch möglich sein sollte, einen Benutzer in mySQL
einzurichten, der zwar volle Rechte auf den phpbb-Tablespace hat, aber ansonsten keine anderen MySQL-Datenbanken sehen darf.

Dazu brauche ich in kein Serveradministrationsforum zu gehen. Solch einen Benutzer habe ich bereits angelegt und
mein cron-Job läuft mittlerweile:

crontab: */15 * * * * /root/newpost.sh

newpost.sh:

#!/bin/sh
last_post=`cat /tmp/last_post`
new_post=`/usr/local/bin/mysql -u phpbb < id.sql | tail -1`
i=`expr $new_post - $last_post`
echo $i
if [ $i -gt 0 ] ; then
echo "use forum;" >new.sql
echo "select post_text from phpbb_posts where post_id=$new_post;" >>new.sql
new_text=`/usr/local/bin/mysql -u phpbb < new.sql `
echo $new_text | mail -s "Neue Nachricht $new_post im XYZ-Forum" info@xyz.de
echo $new_post >/tmp/last_post
else
echo "keine neuen Nachrichten im XYZ Forum"
fi

id.sql:
select max(post_id) from forum.phpbb_posts;

Den Benutzer phpbb habe ich unter mySQL zusätzlich derart angelegt, daß er nur Leserechte auf den Tablespace "forum"
hat.

Ich sehe ja ein, daß phpBB3 bei der einmaligen Einrichtung der Datenbank erhöhte Privilegien braucht, aber man könnte es durchaus mit weniger Privilegien fahren.

Sei mir nicht böse, aber für mich schreibst da völlig unverständliches Zeug.

Das du kein Forumuser gemeint hattest, hast du nicht geschrieben und mir war nicht klar auf was sich in deinem letzten Beitrag "ein User" sonst beziehen sollte.

Dennoch frage ich mich jetzt was du hier mit "User" meinst:

chriskuku hat geschrieben:Ich meine den User, unter dem sich das phpBB3 in die Datenbank einloggt.

Verstehst du das System überhaupt?

Es gibt kein User, womit sich das phpBB3 in die Datenbank einloggt!
Das phpBB3 benötigt die Zugangsdaten der Datenabnk (aus der config.php) um sich in diese dann einzuloggen.
Sprich die Zugangsdaten in der config.php ist kein User im phpBB3 oder so.

chriskuku hat geschrieben:1. DB Rootpasswort für eingeloggte Benutzer sichtbar.

chriskuku hat geschrieben:config.php mit mode 644 dort prangt - für eingeloggte Benutzer lesbar, was mir (wohl mit Recht) als unsicher erscheint.

Wo steht das? Wer sagt das? Seit wann kann ein eingeloggt User das Datanbank-Passwort aus der config.php lesen/sehen?

Wer FTP-Zugriff auf dein Webspace hat (wo das Forum liegt), der kann die config.php lesen (genauso wie alle anderen Dateien auch), aber dein FTP-Zugang hat nichts mit phpBB3 zutun, bzw. dein FTP-Zugang hat nichts mit der Datenbank zu tun!

chriskuku hat geschrieben:weil es stattdessen doch wohl auch möglich sein sollte, einen Benutzer in mySQL
einzurichten, der zwar volle Rechte auf den phpbb-Tablespace hat, aber ansonsten keine anderen MySQL-Datenbanken sehen darf

Auch hier verstehe ich den Sinn eines Benutzers wieder nicht.
Wenn du mehrere Datenbanken erstellen kannst, wird normalerweise jede eigene Zugangsdaten haben und eine von denen wird für das phpBB3 sein und dessen Zugangsdaten gibst du in die config.php, damit das Forum auf die DB zugreifen kann, um Informationen (wie Userdaten, Beiträge, PMs, Board-Einstellungen, ect.) lesen und eintragen kann.

chriskuku hat geschrieben:Den Benutzer phpbb habe ich unter mySQL zusätzlich derart angelegt, daß er nur Leserechte auf den Tablespace "forum"
hat.

Ich sehe ja ein, daß phpBB3 bei der einmaligen Einrichtung der Datenbank erhöhte Privilegien braucht, aber man könnte es durchaus mit weniger Privilegien fahren

phpBB3 benötigt auch im laufenden Betrieb mehr als nur Leserechte, wie sollen sonst neue Mitglieder und Beiträge/Themen, etc. gespeichert werden?
In der Luft oder wie,wo, was?

Du scheinst hier wohl doch einiges durcheinander zubringen!

Hallo

chriskuku hat geschrieben:Ich meine den User, unter dem sich das phpBB3 in die Datenbank einloggt.

Ja, schon klar - Allerdings bist du selbst dafür verantwortlich deine Datenbank/en abzusichern (bedeutet, den Datenbank-User zu erstellen und ihm so wenig Rechte wie nötig einzuräumen).
Die Forensoftware hat damit nichts zu tun!

chriskuku hat geschrieben:Ich meine die allgemeine Sicherheit:

1. DB Rootpasswort für eingeloggte Benutzer sichtbar.

Du meinst damit deine unix-User, die sich ins Unix einloggen können?
Auch hier wieder: Die Forensoftware hat damit nichts zu tun! Das absichern obliegt dir als System-Administrator.

chriskuku hat geschrieben:2. Es tauchen immer wieder Sicherheitslücken (php) auf, da will ich nicht noch ein Tor in meine mySQL-DB aufmachen.
Ein Hacker, der phpBB3 hackt, kommt so leichter an andere Datenbanken, die unter dem jeweiligen mySQL-Server
laufen.

Ja klar - nur hat die Forensoftware nichts mit diesem Problem zu tun. Deinen Server aktuell zu halten und abzusichern ist alleine die Aufgabe des System-Administrators. Dazu gehört es eben auch die Rechte für den Datenbank-Benutzer so klein wie möglich/nötig zu halten.

Du kannst jederzeit einen Datenbank-User mit geringen Rechten anlegen und das Passwort zur entsprechenden Datenbank in der config.php des Forums eintragen. Ich sehe darin keinerlei Probleme.

chriskuku hat geschrieben: weil es stattdessen doch wohl auch möglich sein sollte, einen Benutzer in mySQL
einzurichten, der zwar volle Rechte auf den phpbb-Tablespace hat, aber ansonsten keine anderen MySQL-Datenbanken sehen darf.

Ja, wie oben bereits geschrieben, ist das Problemlos möglich (und anscheinend hast du das ja nun auch endlich getan).

chriskuku hat geschrieben:Ich sehe ja ein, daß phpBB3 bei der einmaligen Einrichtung der Datenbank erhöhte Privilegien braucht, aber man könnte es durchaus mit weniger Privilegien fahren.

Die Rechtevergabe für die Dateien (Stichwort CHMOD) ist immer abhängig von der Konfiguration des Servers. Das bedeutet: Auch hier obliegt es dir als System-Administrator deinen Server abzusichern und die Rechte, entsprechend deiner Server-Konfiguration, korrekt zu setzen.


Grüße: Mahony

Danke, Mahony.

Ein langer Beitrag, in dem ich die Mißverständisse bzw. Ahnungslosigkeit, die Hackepeter13 mir zu unterstellen versuchte, aufklären wollte, hat sich beim Abschicken in Luft aufgelöst. Vielleicht war's besser so.

Mir gingen die Unterstellungen nämlich auf die Nerven.

Ich habe nie von Forum-Benutzern gesprochen.

--
Christoph

Mahony hat geschrieben:Hallo

hackepeter13 hat geschrieben:Ich meine den User, unter dem sich das phpBB3 in die Datenbank einloggt.

Ja, schon klar - Allerdings...

Das was du unter meinem Namen zitiert hast, hatte ich aber nicht geschrieben.

@chriskuku

chriskuku hat geschrieben:..., die Hackepeter13 mir zu unterstellen versuchte, ...

Ich habe dir nichts unterstellt! Aber danke für deine Unterstellung. ^^

chriskuku hat geschrieben:Ich habe nie von Forum-Benutzern gesprochen.

Du hast auch nicht von anderen Usern geschrieben.
Wenn du aufmerksam gelesen hast, habe ich dich so verstanden, da du selber nicht eindeutig geschrieben hast um welche Art von User es sich bei dir handeln sollte (schließlich dreht sich das hier nun mal mehr oder weniger um phpBB).

Hallo

hackepeter13 hat geschrieben:Das was du unter meinem Namen zitiert hast, hatte ich aber nicht geschrieben.

Ups..Sorry, ich habe das mal eben korrigiert.


Grüße: Mahony