版本安全注意事项¶

访问system.users集合¶

在 2.4 版更改.

在版本2.4中，只有具有用户管理员身份的用户才具有访问system.users集合的权限。

在2.2或者更早的版本中，拥有数据库读写权限的用户均具有访问system.users集合的权限，这包括用户姓名和密码的散列[#读-写-系统-用户]。

[1]	拥有只读权限的用户无法访问system.users集合。

如果一个用户的多个数据库拥有相同的密码，那么密码散列值也是相同的，攻击者会借此利用其账户的密钥来访问其另外的数据库。

因此，通常情况下，请为每一个数据库设置唯一的用户名和密码组合。

感谢来自Dell SecureWorks 的Will Urbanski提出这些问题。

← 系统事件审计信息聚合 →