Як убезпечити phpmyadmin?

Я перевірив свої журнали apache, і, whooooaaa, ​​є багато ботів, які намагаються використовувати phpmyadmin. Перше, що я зробив - це змінити ім’я каталогу на щось більш незрозуміле.

Але чи є інші поради щодо захисту phpmyadmin?

(Сама база даних доступна лише в локальній мережі)

Ми робимо комбінацію речей:

• Захистіть phpMyAdmin за допомогою конфігурації .htaccess або Apache, яка вимагає входу користувача / пароля HTTP.
• Захистіть phpMyAdmin за допомогою конфігурації .htaccess або Apache, щоб дозволити доступ лише з певних надійних IP-адрес
• Покладіть phpMyAdmin у власний VirtualHost і запустіть його на нестандартному порту
• Дозволити підключення HTTPS до phpMyAdmin, а не звичайний HTTP
• Дозвольте підключення до нього з локальної мережі (використовуйте VPN, щоб пройти через брандмауер, а дозволити з'єднання лише у тому випадку, якщо ви перебуваєте в цій локальній мережі / VPN)
• Не називайте каталог, він знаходиться в чомусь очевидному, як / phpMyAdmin /

Ви також можете використовувати переадресацію портів SSH, щоб використовувати SSH ключі. Дивіться https://stackoverflow.com/a/3687969/193494

Додайте .htaccess, який дозволяє лише локальний доступ до IP до папки phpmyadmin.

Зробіть phpmyadmin доступним для vhost, який доступний лише з localhost, і вимагайте від користувачів використання ssh та переадресації портів, щоб отримати доступ до нього.

Використовуйте .htaccess

Ми просто підкидаємо .htaccess файл із захистом імені користувача / пароля та (залежно від обставин) IP-адресою.

Це дозволяє США швидко та легко потрапляти на ресурс із надійних комп’ютерів, але запобігає хакерам.

Ще одна примітка ... не використовуйте SAME ім’я / пароль для свого .htaccess, як це робиться для PHPMyAdmin ..., це було б нерозумно. :-)

Сподіваюсь, це допомагає.

Я згоден з htaccess (/ w пароль) та https.

Ви також можете додати другий IP-адресу до цього сервера та створити Apache-віртуальний хост Apache для phpmyadmin. Це може бути просто локальна мережа IP, тому вона буде захищена брандмауером (і ви можете навіть не мати правила nat).

Чим більше шарів (тобто htaccess + https + Virtualhost), тим краще я думаю. В ідеалі боти не повинні в першу чергу дістатись до цього.

Звичайно, ви завжди можете також поставити phpmyadmin в інший ящик.

На додаток до наданих відповідей, ми також використовуємо OSSEC з відкритим кодом для моніторингу наших веб-журналів та оповіщення / блокування цих сканувань.

Встановити його дуже просто, і за замовчуванням він знайде ваші веб-журнали та почне стежити за ними.

Посилання: http://www.ossec.net

Перемістіть phpmyadmin у каталог, ім'я якого затьмарене так, як можна було б очікувати пароля, тобто: комбінація змішаних літер великих регістрів, а також цифр (наприклад, PhP01mY2011AdMin) і аналогічно "надійно" пароль, що захищає каталог із .htpasswd. виконайте трюк.

Знову ж таки, якщо безпека ваших баз даних mysql є життєво важливою для вашого бізнесу, потрібно запитати "що робиш, коли в першу чергу робиться такий інструмент адміністратора, як phpmyadmin?" Але ге, у кожного є свої причини жити.

• HTTPS
• Зробіть його доступним лише через тунель VPN / SSH

phpmyadmin - це занадто велика кількість звіра, щоб захистити його. Вам знадобиться mod_security та тиждень часу налагодження сповіщень лише для відключення половини правил для забезпечення функціональності phpmyadmin. Висновок: Не робіть це загальнодоступним.