Für unser eins, den unerfahrenen, ist es wirklich recht durcheinander.
Das heißt also auf deutsch das die drei Benutzer "root", die kein PW haben, nicht von außen verwendbar sind, wenn der Server im Netz seine Dienste verrichtet?
Im Grunde sollte sowieso niemand auf den MySQL-Server von außen zugreifen können, da man den Port 3306 nicht im Router freigeben sollte.Das heißt, dass nur deine PHP-Skripte (oder sonstigen Datenbankprogramme) auf deiner DS (und von keinem anderen Computer) Zugang zum Port 3306 bekommen sollten. Also per PHP darf jeder auf deine Datenbank, weil im PHP-Skript ja drinne steht, wie und was er tun darf; aber ohne PHP darf niemand.
Deswegen ja auch die Absicherung von PHPmyAdmin (ist ja auch PHP) durch ein Kennwort, damit niemand mit diesem sehr mächtigen Programm auf deine Datenbanken darf. Da dieses PHPMyAdmin halt ein möglicher Angriffspunkt ist, sollte man das nur mit dem sys-Apache starten können und nicht in irgendeinem Verzeichnis /volume1/web ... liegen, denn da könnte man ja auch via user-Apache heran.
Was ich hier schreibe, sind meine Überlegungen. Es kann aber sein, dass da jeder eine andere Meinung zu hat (auch Synology ...) Ich habe nicht den PHPMyAdmin von Synology als spk-Paket installiert ... und kann daher auch keine Auskunft darüber geben, wie der installiert ist.
Es gibt noch etwas: Natürlich gibt es auch MySQL-Programme, die per telnet/ssh gestartet werden können. Z. B. das Backup der MySQL-Datenbank wäre so eins, aber auch das Anlegen/Löschen von Datenbanken wäre ein Klacks. Man sollte daher auch den 'root' und 'admin'-Zugang per telnet/ssh sehr kontrolliert nutzen (nur per VPN). Ich würde z. B. diesen nie im Router freigeben, wenn es eine 'echte' DS ist (also mit Echtdaten) - Ausnahme Synology-Support ... und da würde ich vorher alle Daten und Datenbanken trivialisieren.
Itari
PS. Nur nochmal zur Klarstellung: 'root'/'admin' unter Linux ist nicht der gleiche User unter MySQL. Und beide wäre nicht das gleiche in einer Web-Anwendung (z.B. Photostation) im Apache.