Report Center 用のデフォルトの MySQL 設定は、最初のセットアップ時は非常に便利ですが、最終実装では理想的でない場合があります。たとえば、 mysql root パスワードはデフォルトでは空です。そのため、直接でもネットワーク経由でもサーバー マシンにアクセスできる人間であれば、すぐに顧客データに不正アクセスすることができます。
次の表は、最終的なインストールで変更するべき設定のリストです。
| アクションコード | 対象 | プラットフォーム | アクション | デフォルト設定 | 重要度 |
|---|---|---|---|---|---|
| CONF-1 | dtp オペレーティング システム ユーザー アカウント | Linux | パスワードの変更 | "grs" | 高 |
| CONF-2 | MySQL ルート アカウント | Windows Linux | パスワードの変更 アクセス権限の変更 | パスワードなし | 高 |
| CONF-3 | MySQL Report Center アカウント | Windows Linux | パスワードの変更 アクセス権限の変更 | "report center" | 高 |
| CONF-6 | DTP 管理者アカウント | Windows Linux | パスワードの変更 | "admin" | 高 |
追加情報
CONF-1: DTP のユーザー アカウントを変更せずに、デフォルト パスワードを知っている権限のないユーザーがログインし、そのユーザー アカウントですべてのソフトウェアとバックアップを削除したり、その他のすべてを取り消したりすることができます。
CONF-2, CONF-3: mysql アカウントへのアクセスは、できる限り制限するべきです。理想的には mysql がインストールされているマシンにだけルート接続を許可することです。Report Center の接続は、Report Center ソフトウェア (DTP Server と Data Collector の両方) が実行中のマシンから可能であるべきです。なぜなら、これらのプロセスはどちらもユーザーが "grs" としてデータベースにアクセスすることを要求するからです。 "grs" ユーザーは Report Center の Web インターフェイスからもアクセスできるべきです。マシンが定義されてなく、複数のマシンから接続を開始できる場合、セキュリティ制限はリモート マシンからの接続を制限するべきではありません。ローカルのサブネットからの接続を制限するべきです。すべてのケースにおいて、両方のアカウントのアクセス パスワードを変更するべきです。データベースへの接続を開放したままにしておくことは、権限のないアクセスやデータの破損を引き起こす可能性があります。
CONF-6: 管理者アカウントは、広く利用可能にするべきではありません。DTP の管理者は、レポートへのアクセス、ユーザーとグループの追加/削除、およびシステム管理ツールへのアクセスを許可したり取り消すことができます。
