Wie sichere ich phpmyadmin?

Ich habe meine Apache-Protokolle überprüft und, whooooaaa, ​​es gibt viele Bots, die versuchen, phpmyadmin auszunutzen. Das erste, was ich tat, war, den Verzeichnisnamen in etwas Dunkleres zu ändern.

Aber gibt es noch andere Tipps, um phpmyadmin zu sichern?

(Die Datenbank selbst ist nur über das lokale Netzwerk verfügbar.)

Wir machen eine Kombination von Dingen:

• Schützen Sie phpMyAdmin über die .htaccess- oder Apache-Konfiguration, die eine HTTP-Anmeldung mit Benutzername und Kennwort anfordert.
• Schützen Sie phpMyAdmin über die .htaccess- oder Apache-Konfiguration, um nur den Zugriff von bestimmten vertrauenswürdigen IP-Adressen zuzulassen
• Fügen Sie phpMyAdmin in seinen eigenen VirtualHost ein und führen Sie es auf einem nicht standardmäßigen Port aus
• Erlaube nur HTTPS-Verbindungen zu phpMyAdmin und kein reguläres HTTP
• Erlauben Sie nur Verbindungen vom LAN aus (verwenden Sie ein VPN, um durch Ihre Firewall zu gelangen, und lassen Sie Verbindungen nur zu, wenn Sie sich in diesem LAN / VPN befinden).
• Nennen Sie das Verzeichnis nicht so offensichtlich wie / phpMyAdmin /

Sie können auch die SSH-Portweiterleitung verwenden, um SSH-Schlüssel zu verwenden. Siehe /programming//a/3687969/193494

Fügen Sie einen .htaccess hinzu, der nur den lokalen IP-Zugriff auf den Ordner phpmyadmin ermöglicht.

Stellen Sie phpmyadmin auf einem vhost zur Verfügung, auf den nur von localhost aus zugegriffen werden kann, und fordern Sie Benutzer auf, ssh und Portweiterleitung zu verwenden, um Zugriff darauf zu erhalten.

Verwenden Sie .htaccess

Wir werfen einfach eine .htaccess-Datei mit Benutzernamen- / Passwortschutz und (abhängig von den Umständen) IP-Adresse auf.

Dies ermöglicht es den USA, schnell und einfach von vertrauenswürdigen Computern auf die Ressource zuzugreifen, hält jedoch die Hacker fern.

Ein weiterer Hinweis ... verwenden Sie nicht den gleichen Benutzernamen / das gleiche Passwort für Ihren .htaccess wie für PHPMyAdmin ... das wäre dumm. :-)

Hoffe das hilft.

Ich bin mit htaccess (/ w Passwort) und https einverstanden.

Sie können diesem Server auch eine zweite IP hinzufügen und einen IP-basierten Apache-Virtualhost für phpmyadmin erstellen. Dies könnte nur eine lokale Netzwerk-IP sein, sodass sie von der Firewall geschützt wird (und Sie haben möglicherweise nicht einmal eine Nat-Regel dafür).

Je mehr Ebenen (dh htaccess + https + Virtualhost), desto besser denke ich. Idealerweise sollten die Bots es überhaupt nicht erreichen können.

Sie können phpmyadmin natürlich auch immer auf eine andere Box legen.

Zusätzlich zu den bereitgestellten Antworten verwenden wir auch Open Source OSSEC, um unsere Webprotokolle zu überwachen und diese Scans zu alarmieren / zu blockieren.

Die Installation ist sehr einfach und standardmäßig werden Ihre Webprotokolle gefunden und überwacht.

Link: http://www.ossec.net

Verschieben Sie phpmyadmin in ein Verzeichnis, dessen Name so verdeckt ist, wie man es von einem Passwort erwarten würde, z. B.: Kombination von Buchstaben und Zahlen in Groß- und Kleinschreibung (z. B. PhP01mY2011AdMin) und ein ähnliches "sicheres" Passwort, das das Verzeichnis mit .htpasswd schützt Mache den Trick.

Wenn die Sicherheit Ihrer MySQL-Datenbanken für Ihr Unternehmen von entscheidender Bedeutung ist, muss man sich fragen: "Was tun, um ein Admin-Tool wie phpmyadmin überhaupt für das Internet zugänglich zu machen?" Aber hey, jeder hat seine Lebensgründe.

• HTTPS
• Machen Sie es nur über VPN / SSH-Tunnel erreichbar

phpmyadmin ist zu sehr ein Tier, um es zu sichern. Sie benötigen mod_security und eine Woche Zeit zum Debuggen der Warnungen, um die Hälfte der Regeln zu deaktivieren und die Funktionalität von phpmyadmin sicherzustellen. Fazit: Machen Sie es nicht öffentlich zugänglich.