Gestión de Usuarios y Seguridad en MariaDB
1. Ejemplo de Escalado de Privilegios Mal Configurado
Supón que tienes un usuario llamado usuario_inseguro al que sin querer le diste permisos como este:
GRANT SELECT, INSERT, UPDATE ON base_datos.* TO 'usuario_inseguro'@'localhost' WITH GRANT OPTION;
Con ese WITH GRANT OPTION, el usuario puede dar permisos a otros usuarios o incluso a sí mismo.
El usuario se da más permisos
GRANT ALL PRIVILEGES ON base_datos.* TO 'usuario_inseguro'@'localhost';
También podría crear otro usuario con más privilegios
CREATE USER 'nuevo_jefe'@'localhost' IDENTIFIED BY '1234';
GRANT ALL PRIVILEGES ON *.* TO 'nuevo_jefe'@'localhost' WITH GRANT OPTION;
2. Cómo evitar esto (Buenas Prácticas)
Nunca uses WITH GRANT OPTION salvo que sea necesario
Crea usuarios con permisos específicos
GRANT SELECT, INSERT ON base_datos.ventas TO 'usuario_ventas'@'localhost';
Revisa qué privilegios tiene un usuario
SHOW GRANTS FOR 'usuario_inseguro'@'localhost';
Revoca privilegios si hay algo raro
REVOKE ALL PRIVILEGES, GRANT OPTION FROM 'usuario_inseguro'@'localhost';
Verificar si un usuario tiene GRANT OPTION
SELECT user, host, Grant_priv FROM mysql.user WHERE user = 'usuario_inseguro';
3. Ver Usuarios Conectados
Ver conexiones activas (usuarios conectados y lo que hacen)
SHOW PROCESSLIST;
Ver conexiones activas de forma más limpia
SELECT ID, USER, HOST, DB, COMMAND, TIME, STATE
FROM information_schema.PROCESSLIST;
Ver solo conexiones activas distintas
SELECT DISTINCT user, host
FROM information_schema.PROCESSLIST;
Ver usuarios creados (no necesariamente conectados)
SELECT user, host FROM mysql.user;
Requiere permiso PROCESS para ver conexiones ajenas
GRANT PROCESS ON *.* TO 'usuario'@'localhost';
4. Resumen
| Situación | Riesgo | Solución |
|---|---|---|
Usuario con WITH GRANT OPTION | Escala fácil | Evita este privilegio |
Usuario con privilegios en *.* | Control total | Limita a bases/tables específicas |
| Revisión de permisos | Necesaria | SHOW GRANTS, mysql.user |