Jak zabezpieczyć phpmyadmin?

Sprawdziłem moje dzienniki Apache i, whooooaaa, ​​istnieje wiele botów próbujących wykorzystać phpmyadmin. Pierwszą rzeczą, którą zrobiłem, była zmiana nazwy katalogu na coś bardziej niejasnego.

Ale czy są jeszcze jakieś wskazówki, aby zabezpieczyć phpmyadmin?

(Sama baza danych jest dostępna tylko z sieci lokalnej)

Robimy kombinację rzeczy:

• Chroń phpMyAdmin poprzez .htaccess lub konfigurację Apache, która żąda nazwy użytkownika / hasła HTTP.
• Chroń phpMyAdmin poprzez .htaccess lub konfigurację Apache, aby umożliwić dostęp tylko z niektórych zaufanych adresów IP
• Umieść phpMyAdmin we własnym VirtualHost i uruchom go na niestandardowym porcie
• Zezwalaj tylko na połączenia HTTPS z phpMyAdmin, a nie na zwykły HTTP
• Zezwalaj tylko na połączenia z sieci LAN (użyj VPN, aby przejść przez zaporę i zezwalaj na połączenia tylko wtedy, gdy jesteś w tej sieci LAN / VPN)
• Nie nazywaj katalogu, który znajduje się w czymś oczywistym, na przykład / phpMyAdmin /

Możesz także użyć przekierowania portów SSH, aby użyć kluczy SSH. Zobacz https://stackoverflow.com/a/3687969/193494

Dodaj .htaccess, który zezwala tylko na lokalny dostęp IP do folderu phpmyadmin.

Udostępnij phpmyadmin na vhostie dostępnym tylko z localhost i wymagaj od użytkowników korzystania z ssh i przekierowania portów, aby uzyskać do niego dostęp.

Użyj .htaccess

Po prostu podrzucamy plik .htaccess z ochroną nazwy użytkownika / hasła i (w zależności od okoliczności) adresem IP.

Pozwala to USA szybko i łatwo dostać się do zasobu z zaufanych komputerów, ale powstrzymuje hakerów.

Jeszcze jedna uwaga ... nie używaj SAMEJ nazwy użytkownika / hasła dla twojego .htaccess, jak robisz to dla PHPMyAdmin ... to byłoby głupie. :-)

Mam nadzieję że to pomoże.

Zgadzam się z htaccess (/ w hasłem) i https.

Możesz także rozważyć dodanie drugiego adresu IP do tego serwera i utworzenie wirtualnego hosta Apache opartego na adresie IP dla phpmyadmin. Może to być po prostu adres IP sieci lokalnej, więc byłby chroniony przez zaporę ogniową (i możesz nawet nie mieć dla niej reguły nat).

Im więcej warstw (tj. Htaccess + https + Virtualhost), tym lepiej myślę. Idealnie, boty nie powinny być w stanie do niego dotrzeć.

Oczywiście możesz zawsze umieścić phpmyadmina na innym polu.

Oprócz udzielonych odpowiedzi używamy również oprogramowania OSSEC typu open source do monitorowania naszych dzienników sieciowych i ostrzegania / blokowania tych skanów.

Jest bardzo prosty w instalacji i domyślnie znajdzie twoje dzienniki sieciowe i zacznie je monitorować.

Link: http://www.ossec.net

Przenieś phpmyadmin do katalogu, którego nazwa jest zaciemniona w sposób, w jaki można oczekiwać, że hasło będzie takie, jak: kombinacja mieszanych liter i cyfr (na przykład PhP01mY2011AdMin) i podobnie „bezpieczne” hasło chroniące katalog za pomocą .htpasswd powinno być dość Zrób sztuczkę.

Z drugiej strony, jeśli bezpieczeństwo twoich baz danych mysql jest kluczowe dla twojej firmy, należy zapytać „co robisz, robiąc narzędzie administracyjne takie jak phpmyadmin dostępne w Internecie?” Ale hej, każdy ma powód do życia.

• HTTPS
• Uczyń go dostępnym tylko przez tunel VPN / SSH

phpmyadmin jest zbyt wielką bestią, by ją zabezpieczyć. Potrzebujesz mod_security i tygodnia debugowania alertów, aby wyłączyć połowę reguł, aby zapewnić funkcjonalność phpmyadmin. Wniosek: nie udostępniaj go publicznie.