Que es esto???por favor???

cyborg · #31 (**permalink**) 02/03/2004, 14:32

Tienes razon, ya no es que se trate de lo que me han dicho y vale, era y de momento es la unica forma que se me ocurre.

Pues por mas que trato de leer y enterarme, soy incapaz (frustrante) de llegar a comprender lo que me quieres decir con el GRANT, por lo que medio entiendo, con el GRANT puedes limitar los usuarios que acceden a una tabla o a una base de datos, pero aun asi tienen que seguir siendo usuarios de Mysql, de los que se registran en la tabla user de la bd mysql.

asi que de momento, sigo sin ver lo que tu dices.
lo siento :(

cyborg · #32 (**permalink**) 02/03/2004, 15:04

ves, a esto me refiero......

El comando GRANT no solo concede permisos, sino que sirve para crear nuevos usuarios. Basta con conceder permisos a un usuario para que si este no existía, sea creado en la tabla user.

cuando hago esto GRANT ALL on zoologico.* TO MiNombreUsuario@MiComputadora
-> IDENTIFIED BY 'MiContraseña';

me crea el usuario MiNombreUsuario en la tabla user de la bbdd Mysql, siendo un usuario del sistema, con lo cual no llego a entender lo que me quieres decir, perdon.

BrujoNic · #33 (**permalink**) 02/03/2004, 15:28

Tranquilo, perdón solo a Dios

Mira, veo que estas como empezando en esto y no sé que tanto conocimiento tenés de BD y programación.

Si es que estás aprendiendo, mejor buscate ejemplos sencillos de crear BD, tablas, índices, llaves secundarias o foraneas, etc.

No te preocupes por los derechos de usuarios, olvidate de la BD MySQL y crea tu propia BD donde realizar todas esas pruebas.

Luego busca fuentes o código sobre lo que vas a desarrollar, te pones a ver la lógica y modificala.

Todo es prueba y error, cuando ya domines un poco sobre eso, vas a poder comprender muchas cosas.

Para poder correr debes saber caminar y para poder caminar debes aprender a gatear. Todo es paso a paso, el mundo no se hizo en un día.

cyborg · #34 (**permalink**) 02/03/2004, 15:51

pues aunque no te lo creas, en mi trabajo, entre otras cosas, hago programas en c++ para atacar a DB2, esto es un AS400.. pero claro, me lo dan todo hecho, TUXEDO como "mediador" middleware entre mi programa y la base de datos, y los usuarios y la base en si ya dadas, asi que solo me tengo que preocupar de obtener los datos.

De momento lo tengo todo mas o menos claro, menos el tema original.. los usuarios, y lo que me queda

Gracias de nuevo

jejeje por cierto, acabo de ver esto......

He perdido la contraseña del root
Si has perdido la contraseña que usas como root, es decir, para administrar MySQL, puedes establecer otra, usando el mismo ordenador donde físicamente está instalado el daemon:

Apaga el servidor
Inicia el servidor con la opción --skip-grant-tables.
Conecta con el servidor usando mysql -u root mysql. Con eso no te pedira la password y accederas directamante a la base de datos MySQL que es la que guarda la informacion de usuarios.
cambia la contraseña usando este comando SQL:
mysql> UPDATE user SET Password=PASSWORD('nuevacontraseña') WHERE User='root';

Ejecuta un nuevo comando SQL:
mysql> FLUSH PRIVILEGES;

Apaga y reinicia el servidor y ya podras usar la nueva password

asi que.. un usuario delante de la consola podria hacer diabluras..... supongo que eso de --skip-grant-tables se podra "capar"

BrujoNic · #35 (**permalink**) 02/03/2004, 16:10

mmmm veo que estas trabajando con Unix o Linux. Ahi si me jodes je je.

No te preocupes que para poder hacer eso un usuario corriente, no lo va a poder lograr porque no creo que le vayas a dar la cuenta de root (unix o linux) a todo el mundo y si no tiene esos privilegios, no va a poder modificar la clave de root de MySQL.

¿Podrías comentar qué es exactamente tu proyecto? ¿En qué consiste?

cyborg · #36 (**permalink**) 02/03/2004, 17:05

bueno el trabajo.. es un poco de todo :p
el cliente es windows, el servidor es AS, pero bueno....

Sobre lo mio.. lo estoy haciendo en linux.. pero en que cambia eso? en teoria en nada, tanto java como mysql, son iguales, pq lo has dicho??

Sobre la curiosidad que puse....
pone
"Inicia el servidor con la opción --skip-grant-tables.
Conecta con el servidor usando mysql -u root mysql. Con eso no te pedira la password y accederas directamante a la base de datos MySQL que es la que guarda la informacion de usuarios.
cambia la contraseña usando este comando SQL:
mysql> UPDATE user SET Password=PASSWORD('nuevacontraseña') WHERE User='root';
"

asi que entiendo que entrando desde la consola local, no pide contraseña ninguna.. tal y como dice ahi.

bueno lo mio..

digamos que es una tienda, o algo similar, con usuarios, clientes, distribuidores, fabricantes, segun sea el usuarios pues podra hacer unas u otras cosas, esto yo pensaba capar las opciones de unos y otros mediante menus en java, pero si ademas se le puede añadir seguridad a las tablas, pues mejor que mejor no?
despues los usuarios podran pedir reports y demas, alertas,.....
aclara algo??

pero es eso.. los usuarios de mi proyecto, no son usuarios de mysql, con lo cual, para entrar....... volvemos a la pelea de siempre, sobre los usuarios........ :(

BrujoNic · #37 (**permalink**) 02/03/2004, 22:27

Lo de Linux te lo dije porque no lo conozco muy bien. Pero la programación es la misma, en eso tenes razón.

Empeza por esto:
Nombre de BD BDTienda.

Tablas: Usuario, Cliente, Distribuidor, Fabricante, etc

La principal Usuario:
Campos:
Identificación, nombre, fecha nacimiento, fecha de ingreso, puesto, clave (encriptada), etc.

Las demás tablas estan creadas. Comenza a desarrollar tu aplicación web y controla los accesos de los usuarios contra tu tabla usuario de la BDTienda. Si está correcto, lo dejas continuar y le presentas el menú que le corresponda. Por medio de tus pantallas o formularios, controlas lo que va a hacer. Luego, mientras vayas profundizando en tu desarrollo, podras ir buscando otras soluciones. NADIE va a trabajar directamente en la BD, solo con la aplicación.

cyborg · #38 (**permalink**) 03/03/2004, 00:32

Vaya, gracias de nuevo, a veces no se que puede ser mas frustrante, si no entender algo, o para el que lo explica, no ser entendido, supongo que al 50% o un 60% 40% :p

Ves, a esto me referia antes
"Comenza a desarrollar tu aplicación web y controla los accesos de los usuarios contra tu tabla usuario de la BDTienda", contra esto es lo que choco una y otra vez, puesto que solo se me ocurre de la forma antes de descrita, con un usuario que este en mysql.user, y ese verifique el login y pass introducidos.

Supongo que con esto,
"NADIE va a trabajar directamente en la BD, solo con la aplicación." te refieres a que nadie va a tener acceso a la consola, si cierto, pero bueno lo puse, pq claro yo como desarrollador tengo acceso a DB2, para hacer querys, pero al menos que yo sepa no me es tan sencillo como en mysql, desde una consola, borrar la clave de root, era por eso, mas que nada.

BrujoNic · #39 (**permalink**) 03/03/2004, 09:39

Para mi no es molesto explicar, lo malo es que es por este medio y es complicado darse a entender por ambas partes y siento como que hablamos diferentes idiomas.

Cita:

Ves, a esto me referia antes
"Comenza a desarrollar tu aplicación web y controla los accesos de los usuarios contra tu tabla usuario de la BDTienda", contra esto es lo que choco una y otra vez, puesto que solo se me ocurre de la forma antes de descrita, con un usuario que este en mysql.user, y ese verifique el login y pass introducidos.

Cuando uno desarrolla en ASP, PHP, Java o lo que sea, tenes que indicar con cual BD vas a trabajar. NO necesariamente debe ser la BD MySQL. Por ejemplo, en PHP se utiliza lo siguiente:

Código PHP:

  $servidor  ="localhost"; // host

$usuario   ="root"; 

$clave     ="clave_root";

$basedatos ="BDTienda"; // Indicar una Base de datos.

 
 // Conexión a la BD

 $conexion = mysql_connect($servidor, $usuario, $clave) or die(mysql_error());

// Selecciona la BD

 mysql_select_db($basedatos, $conexion) or die(mysql_error());

Como ves, utilizo el usuario root y como vas a empezar, podes usarlo ya que tu lógica lo que va a mostrar son páginas planas, NO va a saber el usuario cual es la clave de root. Te lo pongo de esta manera para que empeces a desarrollar, luego podes crear un usuario en la BD MySQL con derechos a nada y derecho completo a la BDTienda. Pero por ahora concentrate solo en el desarrollo.

Ahora si te fijas bien, realizo la conexión a la BDTienda. Hecho esto, diseñas un formulario donde te pida un usuario y clave de ingreso la cual va a estar almacenda en la tabla Usuario. Si existe, lo dejas pasar armandole el menú con las opciones que pueda realizar y lo dejas continuar.

Cita:

Supongo que con esto,
"NADIE va a trabajar directamente en la BD, solo con la aplicación." te refieres a que nadie va a tener acceso a la consola, si cierto, pero bueno lo puse, pq claro yo como desarrollador tengo acceso a DB2, para hacer querys, pero al menos que yo sepa no me es tan sencillo como en mysql, desde una consola, borrar la clave de root, era por eso, mas que nada.

Vos mismo te estas contestando, quien puede entrar a la consola es root o algún otro usario que tenga derechos de root. (lee los documentos que te puse sobre seguridad en MySQL). Si alguien quiere entrar y no sabe la clave de root, no va a poder ingresar a MySQL y menos a las otras BD creadas.

Lo de borrar la clave de root, creo que va a estar dificil si no se matriculan o registran como usuario root en Linux. Es igual, el usuario root en Linux, tiene el poder de hacer y deshacer por lo que un usuario regular sin derechos a trabajar directamente con MySQL no va a poder hacer. Esos derechos se los das al crear un usuario nuevo donde le indicas lo que puede o no puede hacer en Linux.

Te lo dejo hasta ahi a ver hasta donde me doy a comprender.

Repito, talves el profesor (o sea, yo) sea el malo para explicar y así, es más complicado.

cyborg · #40 (**permalink**) 03/03/2004, 10:15

Si, eso es lo malo, que por este medio a veces no "sintonizas" y parece como si la gente hablara en distintos idiomas.. o a veces, uno de los 2 interlocutores, en este caso yo.. esta sordo perdido y se lia como una peonza.

Pero me parece que al final con un parrafo que has puesto.. es la duda que yo tenia.

"luego podes crear un usuario en la BD MySQL con derechos a nada y derecho completo a la BDTienda. Pero por ahora concentrate solo en el desarrollo.

Ahora si te fijas bien, realizo la conexión a la BDTienda. Hecho esto, diseñas un formulario donde te pida un usuario y clave de ingreso la cual va a estar almacenda en la tabla Usuario. Si existe, lo dejas pasar armandole el menú con las opciones que pueda realizar y lo dejas continuar.
"

Eso es la pelea que tenia :p
el usuario de la conexión es un usuario que por narices tiene que estar en mysql.user, eso si, ese usuario puede tener derecho sólo a entrar a la BDTienda (con el Grant), y no poder entrar a las base de datos de administración, o cualquier otra base de datos, de forma que sólo pueda ver esa.
Y si, claro en la cadena de conexión lo meto a la BDTienda directamente.
es esto verdad? dime que esto

pero el usuario tiene que estar en Mysql.user, que era lo que creo que nos estabamos haciendo un lio, pq me pareció entender que el usuario no tenia que estar en la tabla mysql.use (repito con derechos a entrar solo a la bbdd que yo diga)

Y sobre lo de sacar la clave de root.. bueno lo de cambiarla.. bueno si.. digamos que desde la consola del AS400 fisicamente, supongo que será posible hacerlo tambien, pero no desde los clientes que tenemos nosotros (client access), así que aqui es algo analogo.

Esta vez estamos en sintonia no?

BrujoNic · #41 (**permalink**) 03/03/2004, 11:30

A L E L U Y A !!!! parece que ahora si nos estamos comprendiendo en la parte de desarrollo y BD. Lo de la parte de Linux, te repito que no te preocupes ya que cuando se instala y configura MySQL, te crea un grupo llamado igual MySQL por lo que si creas un usuario y NO le das derechos de estar en la parte de MySQL, no va a poder cambiar nada.

cyborg · #42 (**permalink**) 03/03/2004, 12:13

pues si Aleluya, pero la culpa es mia, puesto que no me explique bien en un principio, pq me referia a una cosa así.
Y mal interprete tus mensajes, pensando que te referias a que los usuarios no tenian que estar en la tabla mysql.user, y lo de dar permisos a ese usuario para la BDTIENDA.

Bueno pues ahora me queda hacer pruebas,
si al usuario le pongo un GRANT para BDTIENDA.* sólo va a poder acceder a esa verdad?

ah.. para terminar, he visto el campo password de la tabla mysql.user, si mis ojos no me engañan, que puede ser, es un varchar¿?¿? como encripta la clave?

De nuevo gracias, ya te ire dando la lata segun me vaya liando :p

bueno.. al foro, otra cosa es que tu las veas.

De verdad, gracias.
Espero que nada de lo que haya escrito ahora, haga parecer que volvemos a no entendernos

BrujoNic · #43 (**permalink**) 03/03/2004, 13:54

mysql.user.password es varchar(16) para encriptar se usa la función PASSWORD. Si editas un usuario de los existentes, te vas a fijar que al lado izquierdo del campo password podes elegir una función y entre ellas está PASSWORD.

Manualmente es:

Código PHP:

  INSERT user (user, password) VALUES ('usuario1', PASSWORD('clave'));

 
UPDATE user SET password = PASSWORD('nuevaclave')

WHERE user = 'usuario1';

cyborg · #44 (**permalink**) 03/03/2004, 16:05

bueno estaba viendo como hace la gestion de usuarios el phpMyAdmin, y no hace inserts como tal en mysql.user, lo hace con el GRANT, que hace un insert, supongo que con el GRANT, al poner la password, p.ej "camion" al hacerlo con el GRANT no hace falta ponerle PASSWORD("camion"), en cambio para el cambio de clave si.

Bueno he estado "jugando" con usuarios, bbdd de prueba, asignando privilegios y demas.
Respecto al webmin, he visto algunas diferencias, el webmin te deja poner privilegios a las tablas y bbdd de usuarios que no existe en mysql.user

pero myphpadmin no

Que más... si no le pongo ningún privilegio, el usuario sólo sirve para conectar

pero no puede acceder a ninguna bbdd

Ahora es donde la he "liado" un poco, si creo un usuario llamado
"prueba" con solo permiso de SELECT en la base de datos BASE1,
pero en la tabla BASE1.TABLA1 le pongo permiso de INSERT solo...
Sobre tabla1 puedo insertar y consultar no?? Insertar por ser un permiso de la tabla, y consultar por ser de la base de datos no?

Pero si BASE1 tiene permisos de select e insert, y TABLA1 de select, pq me deja insertar en TABLA1¿? prevalece el permiso de BASE1¿?

de momento es todo :p

SE ME OLVIDABA QUE SIGNIFICA LA COLUMNA CONCEDER QUE APARECE EN LOS PRIVILEGIOS EN EL phpMyAdmin??? siempre me aparece a "NO"

cyborg · #45 (**permalink**) 03/03/2004, 16:27

ups, otra cosa :p

si a un usuario, le haces esto:
"revocar todos los privilegios activos y borrelos despues"
lo borra de mysql.user ....... pero....... el usuario sigue entrando a la consola, cual es la razon?
en cambio si seleccionas "borre al usuario y vuelva a cargar los privilegios" ese usuario no vuelve a entrar, pero de la otra forma si.. curioso no?

si estoy con el phpmyadmin cambiando privilegios y estoy con la consola con ese usuarios metido, como refresco privilegios, saliendo y volviendo a entrar??

ya se son muchas preguntas :(

BrujoNic · #46 (**permalink**) 03/03/2004, 18:59

Tiene mayor prioridad los derechos sobre la BD (si me equivoco que me corrijan).

Sobre los cambios que haces y no se te refrescan, es porque debes usar el comando FLUSH.

13.5.4.2 FLUSH Syntax

cyborg · #47 (**permalink**) 04/03/2004, 00:39

Hola.

Pues si, es posible que pase como en las carpetas de windows, los archivos heredan los privilegios de las carpetas, así que si, es posible que el permiso de la BBDD este por encima del de la tabla.

Pero vamos, bastaria entonces con dar permiso a la BBDD de sólo select, y a las tablas que me interese de INSERT, visto que no se puede hacer lo contrario, de dar INSERT y SELECT a la BBDD y solo de SELECT a las tablas que no quiera que se escriban (deben heredar el INSERT)

Aunque no lo veo muy funcional, puesto que si una BBDD tiene 30 tablas, y quiero poder hacer insert en todas menos en 1, si le pongo a la BBDD permisos de insert, todas las tablas tienen permiso de INSERT, aunque despues en la tabla que no quiero insertar, le ponga con el grant para SELECT solo, tambien inserta..esto me obliga a poner a la BBDD permisos de select y a 29 tablas el de insert....... a no ser que no probase bien ayer.. esta tarde me lio con ello mas.

Ah.. vaya.. como el tema de los privilegios, el phpmyadmin te muestra una ventana con lo que ha hecho en sql, en ello aparece el flush.. asi que tengo que poner FLUSH (algo) desde la consola, para que refresque??
bueno.. era una jodienda entrar y salir :D

De verdad, gracias por la lata que te estoy dando.

Ahora sólo me falta averiguar pq cuando haces esto con un usuario desde phpmyadmin
"revocar todos los privilegios activos y borrelos despues"
ese usuario desaparece de la lista de usuarios, pero sigue entrando a mysql, sin poder acceder a ninguna BBDD

en cambio ""borre al usuario y vuelva a cargar los privilegios" tambien borra el usuario de mysql.user, pero ya no puedes volver a entrar, ah.. lo de CONCEDER que aparece en los usuarios con el phpmyadmin que significa?

BrujoNic · #48 (**permalink**) 04/03/2004, 09:20

cyborg, me puse a ver el manual de MySQL y hay una sección dedicada completamente al tema de la administración de la BD.

5 Database Administration

También, podes bajar completamente el manual en varios formatos para no estarlo consultando en la web.

Documentation

Sobre lo que significa o el uso de cada campo en la tabla user, te lo quedo debiendo.

Trata de leer ese capítulo completo.

cyborg · #49 (**permalink**) 04/03/2004, 09:49

Ok vale, trataré de leerlo, digo tratar, pq igual no comprendo todo, estando en ingles.

De todas formas, seguiré con el metodo de prueba y error :p

Saludos y gracias.

cyborg · #50 (**permalink**) 04/03/2004, 14:19

Hola.
Entre lo que he leido de momento, al menos no he visto mis dudas sobre los permisos que se heredan de BBDD a tabla, pero bueno, creo que he dado con "una respuesta" a una de las preguntas.. bueno mas que respuesta, es una conclusión.

en concreto, sobre esto:
-----------------------
"revocar todos los privilegios activos y borrelos despues"
ese usuario desaparece de la lista de usuarios, pero sigue entrando a mysql, sin poder acceder a ninguna BBDD

en cambio ""borre al usuario y vuelva a cargar los privilegios"
----------------

pues bien con "revocar todos los privilegios activos y borrelos despues" el usuario desaparece de las tablas de mysql.user y demás, pero sigue iniciando sesión (alguien me dira donde narices se valida......) pero cuando se hace un mysqladmin reload -u usuario -p
acto seguido ya no puede volver a hacer login

con ""borre al usuario y vuelva a cargar los privilegios" es inmediato... bueno cuando te sales de mysql, ya no puedes volver a entrar.. la diferencia creo.. y corrigeme si me equivoco es.. que el segundo recarga los privilegios nuevos, y el primero no, los debe tener en memoria o algo así, aun asi no me explico como válida al usuario.

por cierto, para hacer el reload, tienes que dejar el entorno interactivo de mysql, verdad?

BrujoNic · #51 (**permalink**) 04/03/2004, 15:17

Si te referis al FLUSH, lo podes hacer directamente sin bajar MySQL

FLUSH PRIVILEGES

cyborg · #52 (**permalink**) 05/03/2004, 00:32

ah.. claro... se podrá hacer con un usuario que tenga permisos para el flush, o con el root.. pero claro estaba conectado con un usuario "con pocos permisos" y a la vez estaba enredando con el phpmyadmin, con lo cual, cada vez que escribia flush privileges me daba error..
no se.. volveré a intentarlo.

cyborg · #53 (**permalink**) 07/03/2004, 12:59

bueno efectivamente con el root puedo hacer flush, y bueno con cualquier usuario que tenga ese privilegio, cosa que el otro no tenia.

ahora bien, sigo sin ver la relacion de privilegios de bbdd a tablas, no se si será una limitacion.. pero si de 30 tablas en 29 quiero escribir y en 1 no, poner a 29 permisos de escritura me parece una cutrada, frente a ponerlo en la bbdd ese permiso y en la tabla que no, ponerle de select solo
pero vamos, si es lo que hay, habra que aguantarse

espai · #54 (**permalink**) 11/06/2005, 03:13

Cita:

Iniciado por BrujoNic

Esos mensajes son de phpMyAdmin donde te está advirtiendo que no tenes clave para root que es el superusuario.

Para tu caso, tendrías que editar el archivo config.inc.php en el directorio phpMyAdmin, buscar la frase PmaAbsoluteUri y poner como valor tu localhost, o sea, $cfg['PmaAbsoluteUri'] = 'http://localhost';. Con eso eliminas el primer mensaje de advertencia.

Lo siguiente es que apenas ingreses, le cambies la clave de root, cerrar phpMyAdmin, volver a editar el archivo config.inc.php y buscar la siguiente frase $cfg['Servers'][$i]['auth_type']. Luego realizas los siguientes cambios.

Código PHP:

  // Authentication method (config, http or cookie based)?

$cfg['Servers'][$i]['auth_type']     = 'cookie';

// MySQL user

$cfg['Servers'][$i]['user']          = 'root';

// MySQL password (only needed)

$cfg['Servers'][$i]['password']      = '';

El primer valor cookie se va a utilizar para que te pida usuario y clave para ingresar a MySQL.

Hola BrujoNic, he hecho lo que dices y curiosamente al añadir "localhost" a esta línea:
$cfg['PmaAbsoluteUri'] = 'http://localhost';
...y reiniciar el Apache no me encuentra los gifs del del phpMyAdmin.
He probado de dejarlo en blanco como al principio y reiniciar Apache otra vez y efectivamente vuelven a aparecer todos los gifs de la página... No sabrás por dónde van los tiros de lo que me está pasando. Gracias.

Carlosnavarro · #55 (**permalink**) 08/10/2010, 12:16

Cita:

Iniciado por 8461277

Mysql cuando lo habro para crear una BD, me dice esto:

La directiva $cfg['PmaAbsoluteUri'] ¡DEBE constar en el fichero de configuración!

Su archivo de configuración contiene parámetros (root sin contraseña) que corresponden a la cuenta privilegiada predeterminada de MySQL. Su servidor de MySQL está usando estos valores, que constituyen una vulnerabilidad. Se le recomienda corregir esta brecha de seguridad

Quien me puede explicar esto y como resolverlo

Miguel

yo empece con el mismo problema y lo resolvi con esta informacion
+ abro el archivo config.sample.inc
+ busco la variable $cfg['blowfish_secret'] y le asigno una cadena
$cfg['blowfish_secret'] = 'FraseSecreta'; /* YOU MUST FILL IN THIS FOR COOKIE AUTH! */

revisa a ver si te funciona