提个关于安全性方面的建议
问题被三楼终结,此贴作废!
就是我用的是wordpress,
所有关于数据库的链接信息都写在网站根目录wp-config.php这个文件里,
相信很多其他程序的网站也都是把数据库的配置信息都写在一个文件里,
假如说我的网站失守了攻击者成功得到了wp-config.php这个数据库配置文件,
那么攻击者就可以通过登录
http://idb.rds.aliyun.com直接删除或者更改我的数据库,
能不能在
RDS或者iDB Cloud里面添加一个设置,就是只允许通过RDS才能访问或者登录
http://idb.rds.aliyun.com。那样的话攻击者就算得到了所有的数据库链接信息也不能动我的数据,因为他必须通过RDS控制台才能去接触到我的数据库。使用RDS控制台就需要在阿里云登录才行。
写回答
-
推荐回答:
不知道我的理解对不对哈。
其实如果访问iDB Cloud,如果没有登录阿里云官网,也是不允许登陆的,也会跳转到阿里云官网进行登陆后才能访问的,请您验证。
另外,就目前来讲,还有一个限制是,用户只能登录自己所购买的实例,如果你输入一个别人的实例连接地址,即使数据库账号正确,也会提示这不是你本人的实例。
不过就第2点限制,我们在考虑一些场景会放开,很多时候购买实例的人未必是真正使用实例的人,例如有些时候购买实例后会给一个项目组的所有同事去使用,因此我们也在考虑一些授权机制,或给实例的owner提供更多日志跟踪的功能。
官方帮助文档地址:阿里云帮助中心
更多参考: 阿里云官方(新用户需官网注册查看)
2021-04-26 00:27:29赞同 展开评论 打赏 -
-
回楼主猫不会扑的帖子不知道我的理解对不对哈。
其实如果访问iDB Cloud,如果没有登录阿里云官网,也是不允许登陆的,也会跳转到阿里云官网进行登陆后才能访问的,请您验证。
另外,就目前来讲,还有一个限制是,用户只能登录自己所购买的实例,如果你输入一个别人的实例连接地址,即使数据库账号正确,也会提示这不是你本人的实例。
不过就第2点限制,我们在考虑一些场景会放开,很多时候购买实例的人未必是真正使用实例的人,例如有些时候购买实例后会给一个项目组的所有同事去使用,因此我们也在考虑一些授权机制,或给实例的owner提供更多日志跟踪的功能。2015-03-05 11:21:57赞同 展开评论 打赏 -
版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。
