Tener MySQL usando auth_socket como mecanismo de autenticación predeterminado para el usuario root me asusta, por lo que lo cambio a la autenticación de contraseña con controles rígidos sobre la calidad y documentación de la contraseña.
Si un usuario logra tener acceso de root a esta máquina Linux que tiene una base de datos MySQL pero no tiene la contraseña para iniciar sesión en el servicio, ¿aún puede copiar / modificar / destruir los datos?
El usuario root tendrá acceso, como mínimo, al archivo de base de datos que está almacenado en la computadora. Esto significa que, independientemente de cómo esté configurado el servicio, pueden copiar y eliminar los datos. Si su base de datos no está encriptada por algún medio, también podrá modificar los datos.
Obviamente ya sabes la respuesta: sí. Sin embargo, es incluso más fácil de lo que parece. Como usuario root, puede restablecer la contraseña de root para una instalación de MySQL. He tenido que hacer esto antes: tenía una instalación completamente nueva y olvidé registrar la contraseña de root de MySQL. Tardé menos de 5 minutos en restablecer la contraseña de root en MySQL, y tuve acceso completo a la base de datos MySQL después de hacerlo, no hizo ningún cambio en nada en MySQL (excepto la contraseña de root).
Por supuesto, incluso eso podría no importar. Si el servidor de la base de datos y el servidor de la aplicación son una máquina, un atacante inteligente solo puede mirar su aplicación, ver cómo se autentica (normalmente, tan simple como leer las credenciales del código fuente o una configuración del entorno), e iniciar sesión de esa manera.
Sería muy difícil encontrar una manera de bloquear al usuario root de MySQL, y si lo consiguieras, probablemente te harías más daño que un usuario malintencionado. En general, si un usuario no autorizado obtiene acceso de root a su servidor, estará bastante ocupado.