วิธีการรักษาความปลอดภัย phpmyadmin?

9

ฉันตรวจสอบบันทึก apache ของฉันและ whooooaaa มีจำนวนมากบอทพยายามใช้ประโยชน์ phpmyadmin สิ่งแรกที่ฉันทำคือการเปลี่ยนชื่อไดเรกทอรีเป็นสิ่งที่คลุมเครือมากขึ้น

แต่มีเคล็ดลับอื่น ๆ เพื่อรักษา phpmyadmin หรือไม่

(ฐานข้อมูลนั้นมีอยู่ในเครือข่ายท้องถิ่นเท่านั้น)

apache-2.2 security

— Boris Guéry
แหล่งที่มา

5

ฐานข้อมูลนั้นสามารถเข้าถึงได้เฉพาะในเครื่องเท่านั้น แต่หากส่วนต่อประสานการจัดการ (phpMyAdmin) นั้นเป็นข้อมูลสาธารณะที่ไม่สร้างความแตกต่าง

— John Gardeniers

4

วิธีที่ดีที่สุดในการรักษาความปลอดภัย phpMyAdmin คือการเรียนรู้วิธีใช้ไคลเอนต์บรรทัดคำสั่ง MySQL แล้วถอนการติดตั้ง phpMyAdmin

— MDMarra

@MDMarra ฉันเห็นด้วยอย่างยิ่งกับคุณ แต่ฉันเพิ่งมีภารกิจสำหรับลูกค้ารายนี้ที่ต้องมีการติดตั้ง PhpMyAdmin ฉันไม่เคยใช้มันและชอบ SSH เสมอ แม้ว่าสำหรับการเรียนรู้การใช้งาน SQL บางตัวอาจไม่ใช่ตัวเลือกและ GUI ดังกล่าว PhpMyAdmin นั้นได้รับการต้อนรับจากผู้ใช้จำนวนมาก แต่ต้องได้รับการรักษาความปลอดภัยอย่างถูกต้องจากเราผู้เชี่ยวชาญและผู้เชี่ยวชาญ นั่นเป็นความหยิ่งมากที่คิดตรงกันข้าม

— Boris Guéry

13

เรารวมสิ่งต่าง ๆ เข้าด้วยกัน:

ปกป้อง phpMyAdmin ผ่านการกำหนดค่า. htaccess หรือ Apache ซึ่งจะขอชื่อผู้ใช้ HTTP / รหัสผ่านเข้าสู่ระบบ
ปกป้อง phpMyAdmin ผ่านการกำหนดค่า. htaccess หรือ Apache เพื่ออนุญาตการเข้าถึงจากที่อยู่ IP ที่เชื่อถือได้เท่านั้น
วาง phpMyAdmin ใน VirtualHost ของตัวเองและรันบนพอร์ตที่ไม่ได้มาตรฐาน
อนุญาตการเชื่อมต่อ HTTPS กับ phpMyAdmin เท่านั้นไม่ใช่ HTTP ปกติ
อนุญาตการเชื่อมต่อจาก LAN เท่านั้น (ใช้ VPN เพื่อผ่านไฟร์วอลล์ของคุณและอนุญาตการเชื่อมต่อเฉพาะเมื่อคุณใช้ LAN / VPN นั้น)
อย่าตั้งชื่อไดเรกทอรีในสิ่งที่ชัดเจนเช่น / phpMyAdmin /

คุณสามารถใช้การส่งต่อพอร์ต SSH เพื่อใช้คีย์ SSH ได้ ดูhttps://stackoverflow.com/a/3687969/193494

— Keith Palmer Jr.
แหล่งที่มา

6

เพิ่ม. htaccess ซึ่งอนุญาตเฉพาะการเข้าถึง IP ในเครื่องไปยังโฟลเดอร์ phpmyadmin

— gekkz
แหล่งที่มา

เกิดอะไรขึ้นถ้ามันมีไว้สำหรับลูกค้าที่จะใช้? เว็บโฮสต์หลายแห่งใช้ PHPMyAdmin

— Luc

6

ทำให้ phpmyadmin พร้อมใช้งานบน vhost ที่เข้าถึงได้จาก localhost เท่านั้นและต้องการให้ผู้ใช้ใช้ ssh และการส่งต่อพอร์ตเพื่อเข้าถึง

— Brian De Smet
แหล่งที่มา

2

ใช้. htaccess

เราเพียงแค่โยนไฟล์. htaccess ที่มีการป้องกันชื่อผู้ใช้ / รหัสผ่านและ (ขึ้นอยู่กับสถานการณ์) ที่อยู่ IP

สิ่งนี้ทำให้สหรัฐฯสามารถเข้าถึงทรัพยากรได้อย่างรวดเร็วและง่ายดายจากคอมพิวเตอร์ที่เชื่อถือได้ แต่ป้องกันแฮ็กเกอร์

อีกหนึ่งบันทึกย่อ ... อย่าใช้ชื่อผู้ใช้ / รหัสผ่านเดียวกันสำหรับ. htaccess ของคุณเช่นเดียวกับ PHPMyAdmin ... ที่จะโง่ :-)

หวังว่านี่จะช่วยได้

— KPWINC
แหล่งที่มา

2

ฉันเห็นด้วยกับรหัสผ่าน htaccess (/ w) และ https

คุณอาจพิจารณาเพิ่ม IP ที่สองในเซิร์ฟเวอร์นั้นและสร้าง IP เสมือน Apache บนโฮสต์สำหรับ phpmyadmin นี่อาจเป็น IP เครือข่ายท้องถิ่นดังนั้นจึงจะได้รับการคุ้มครองโดยไฟร์วอลล์ (และคุณอาจไม่มีกฎ nat สำหรับมัน)

เลเยอร์เพิ่มเติม (เช่น htaccess + https + Virtualhost) ยิ่งดี ตามหลักแล้วบอตไม่ควรเข้าถึงได้ตั้งแต่แรก

แน่นอนคุณสามารถวาง phpmyadmin ไว้ในกล่องอื่นได้เสมอ

— ไคล์แบรนด์
แหล่งที่มา

1

นอกเหนือจากคำตอบที่ให้แล้วเรายังใช้ OSSEC แบบโอเพ่นซอร์สเพื่อตรวจสอบบันทึกการใช้เว็บและแจ้งเตือน / บล็อกการสแกนเหล่านี้

มันง่ายมากที่จะติดตั้งและโดยค่าเริ่มต้นจะพบบันทึกการใช้เว็บของคุณและเริ่มตรวจสอบพวกเขา

ลิงก์: http://www.ossec.net

— Sucuri
แหล่งที่มา

1

ย้าย phpmyadmin ไปยังไดเรกทอรีที่มีชื่อถูกบดบังวิธีที่คาดว่ารหัสผ่านจะเป็นเช่น: การรวมกันของตัวอักษรตัวพิมพ์เล็กและตัวเลข (ตัวอย่างเช่น PhP01mY2011AdMin) และรหัสผ่าน "ปลอดภัย" ในทำนองเดียวกันควรปกป้องไดเรกทอรีด้วย. htpasswd ทำเคล็ดลับ

ถ้าความปลอดภัยของฐานข้อมูล mysql ของคุณมีความสำคัญต่อธุรกิจของคุณคุณต้องถามว่า "whatcha กำลังทำเครื่องมือผู้ดูแลระบบเช่น phpmyadmin ที่สามารถเข้าถึงอินเทอร์เน็ตได้ตั้งแต่แรก" แต่เฮ้ทุกคนมีเหตุผลในการมีชีวิตอยู่

— Drew
แหล่งที่มา

0

HTTPS
ทำให้สามารถเข้าถึงได้ผ่านอุโมงค์ VPN / SSH เท่านั้น

phpmyadmin นั้นเป็นสัตว์ร้ายที่ปลอดภัยเกินไป คุณต้องการ mod_security และหนึ่งสัปดาห์ในการดีบั๊กการแจ้งเตือนเพียงเพื่อปิดการใช้งานครึ่งหนึ่งของกฎเพื่อให้การทำงานของ phpmyadmin สรุป: อย่าทำให้สาธารณชนเข้าถึงได้

— weeheavy
แหล่งที่มา