Hallo Yadgar,

Nur solange ich in der Konsole als "root" eingeloggt bin oder auch danach? Bei MySQL erscheint es mir logisch, da muss ich ja ständig (jedenfalls, solange ich mir keinen "Arbeits-User" mit eingeschränkten Privilegien konfiguriert habe) als root drin sein...

der MySQL-Benutzer root hat im Allgemeinen nichts mit dem Systembenutzer root zu
tun. Selbstverständlich kannst Du, auch wenn Du an Deiner Linuxkiste mit einem
normalen Benutzerkonto angemeldet bist, als MySQL-Benutzer root arbeiten:

mysql -u root -p

Wenn Deine Firewallregeln keinen Zugriff von außen erlauben, dann bist Du auch
nicht offen wie ein Scheunentor. Wenn diese den normalen Zugriff über Port 80 (apache) bzw. Port 3306 (MySQL) erlauben, bist Du auch noch nicht offen wie ein
Scheunentor. Für Testserver halte ich die Erreichbarkeit aus dem Internet jedoch
für eine schlechte Idee. Der Zugriff von außen auf MySQL wird insbesondere bei
"Homeservern" sowieso nicht benötigt.

Freundliche Grüße

Vinzenz

Moin!

Nur solange ich in der Konsole als "root" eingeloggt bin oder auch danach? Bei MySQL erscheint es mir logisch, da muss ich ja ständig (jedenfalls, solange ich mir keinen "Arbeits-User" mit eingeschränkten Privilegien konfiguriert habe) als root drin sein...

Du meinst wahrscheinlich nicht den root Deines Betriebssystems, sondern den des DBMS MySQL. Dann besteht hauptsächlich die Gefahr, dass Du mittels Deiner Allmacht selbst versehentlich Daten vernichtest. Aus Sicht des Betriebssystems hast Du möglicherweise zwei verschiedene Nutzerkennungen. Die des MySQL-Demons ('Select Into Outfile ...' kann ggf. Systemdateien überschreiben) und die Kennung, unter Dein Client effektiv aufgerufen wurde. Das regelmäßig ist die Kennung mit der Du Dich am OS angemeldet hast.

Generelle Nebengefahren ergeben sich beispielhaft aus Angriffsmöglichkeiten auf den X-Server oder Dein OS (Keylogger etc.)

Solltest Du den Server (Apache, MySQL, ... jeder andere) als root und nicht als Dienst gestartet haben, so ergibt sich in von mehreren Personen genutzten Räumen das Problem, dass ein unberechtigter Dritter das Programm beendet, Deine Shell benutzt, das Programm wieder startet. Verwende also statt einer root-shell den Befehl sudo.

Im Regelfall empfiehlt es sich also die Server mit:

~> sudo /etc/init.d/mysql start|stop|restart|reload
~> sudo /etc/init.d/apache|httpd|apache2|httpd2 start|stop|restart|reload
(Das Pipe-Symbol '|' kennzeichnet Alternativen.)

... zu steuern oder wie schon beschrieben auf unprivilegierten Ports laufen zu lassen.

Mit welchem Benutzer MySQL oder der Apache effektiv laufen kannst Du mit

~> ps axu |grep httpd
oder
~> ps axu |grep mysqld

herausbekommen. Hinweis hierzu: Beim Apache (prefork) läuft genau ein Prozess, der die Arbeitsprozesse steuert, mit root-Rechten, beantwortet aber keine Webanfragen.

MFFG (Mit freundlich- friedfertigem Grinsen)

fastix®

Moin Moin!

Habe ich versucht, funktioniert leider nicht... trotz Listen 127.0.0.1:1024 in ports.config ist apache2ctl Nicht-Superusern gar nicht bekannt!

Das eine hat mit dem anderen so absolut gar nichts zu tun. Listen regelt, auf welcher Adresse und welchem Port der Apache-Server auf Requests wartet. apache2ctl bzw. apachectl ist ein Kommandozeilen-Tool, das den Server-Prozess starten und stoppen kann. Weil es normalerweise eben nur von root gestartet werden soll, liegt es typischerweise in /usr/sbin. Dieses Verzeichnis (wie auch /sbin) liegt bei normalen Usern nicht im PATH.

Tipp als root mal "which apache2ctl", merk' Dir, wo apache2ctl liegt, und rufe es dann als Normaluser auf. Es wird vielleicht noch etwas Theater geben, weil der Apache unter Deinem  Account nicht in die gewohnten Verzeichnisse loggen darf, und evtl. mag er auch nicht mehr daemon oder www werden, aber das läßt sich per httpd.conf beseitigen.

Alexander