パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

オープンソース・ソフトは危険?」記事へのコメント

  • > 「オープンソースだから安全という考えは間違い」というのは事実

    改ざんされたサイトのOpenPort(TCP)ランキング(2002.05.01-31) [geocities.co.jp]を見ても、LinuxとWindowsはほぼ同数ですね。だんだん、いい加減な設定で放置してあるLinuxサーバが増え
    • >いい加減な設定で放置してあるLinuxサーバが増えてきている模様。

      いい加減な設定は「動けばよい」という理念から来るようです。

      うちの学校のOracleサーバはSYSTEM/MANAGERで繋がる。
      おいおい、初期パスワードかよ。
      しかも、キャパシティプランニングされていない為、
      生徒80人が一気にアクセスしてダウンしましたとさ。
      --


      .::.:... .::....: .::...:: .::.:.:: .::..:.: .:::..:.
      I 1 2 B H4[keR. :-)
      • by Anonymous Coward
        デフォルトはSCOTT/TIGERじゃなかったっけ?
        #もう忘れましたわ。
        • 管理者アカウントが、SYSTEM/MANAGERで、
          ゲストアカウントのようなものが、SCOTT/TIGERでした。確か。

          今までOracle7と8のサーバを4箇所くらいで見てきましたが、
          パスワードを変更しているところは皆無でした。
          危険すぎる…。
          • by SteppingWind (2654) on 2002年06月08日 15時17分 (#104943)

            確か管理者アカウントのsystem/managerってIPC(共有メモリやセマフォ)の関係でoracleプロダクトの所有者がsvrmgrl等のデータベースに直に触れる環境じゃないと使えないんじゃなかったでしたっけ?

            それなんでOSレベルのユーザ・パスワードをかけているだけで安心しちゃっているんじゃないかな. ただ, それさえもoracle8/oracle8なんだからどうしようも無いけど.

            確かに私もインストールした後, ちゃんとパスワードを変更する様に言ってはいますが, 後で見てちゃんと設定してあったのは皆無ですね. それどころか, 運用のためのスクリプトの中にユーザ/パスワードが素で固定で埋め込まれ, しかも一般read可になっていたりするんですけどね.

            親コメント
            • by emuty (9332) on 2002年06月08日 15時40分 (#104952)
              その監理ユーザー名が"oracle"だったりする事が多々あります(--)
              パスワードだけハックできれば簡単に監理ユーザーに昇格出来ます。
              でもまぁ~DBはインターネット側から隔離して利用するのが普通だと
              思いますので、余り問題にならないかと思いますが...
              ...そういう問題ではないですけどね。
              親コメント

Stay hungry, Stay foolish. -- Steven Paul Jobs

処理中...