Назад | Перейти на главную страницу

Как защитить phpmyadmin?

Я проверил свои журналы apache, и, ууууааа, много ботов пытаются использовать phpmyadmin. Первым делом я изменил имя каталога на что-то более неясное.

Но есть ли еще какие-нибудь советы по защите phpmyadmin?

(Сама база данных доступна только из локальной сети)

Мы делаем комбинацию вещей:

  • Защитите phpMyAdmin с помощью .htaccess или конфигурации Apache, которая запрашивает имя пользователя / пароль HTTP для входа.
  • Защитите phpMyAdmin с помощью .htaccess или конфигурации Apache, чтобы разрешить доступ только с определенных доверенных IP-адресов
  • Поместите phpMyAdmin в его собственный VirtualHost и запустите его на нестандартном порту.
  • Разрешить только HTTPS-соединения с phpMyAdmin, а не обычный HTTP
  • Разрешать подключения к нему только из локальной сети (используйте VPN, чтобы пройти через брандмауэр, и разрешайте подключения только если вы находитесь в этой локальной сети / VPN)
  • Не называйте каталог чем-то очевидным, например / phpMyAdmin /

Вы также можете использовать переадресацию портов SSH для использования ключей SSH. Видеть https://stackoverflow.com/a/3687969/193494

Добавьте .htaccess, который разрешает только локальный IP-доступ к папке phpmyadmin.

Сделайте phpmyadmin доступным на виртуальном хосте, доступном только с localhost, и потребуйте, чтобы пользователи использовали ssh и переадресацию портов, чтобы получить к нему доступ.

Используйте .htaccess

Мы просто загружаем файл .htaccess с защитой имени пользователя / пароля и (в зависимости от обстоятельств) IP-адресом.

Это позволяет нам быстро и легко получить доступ к ресурсу с доверенных компьютеров, но не позволяет хакерам.

Еще одно замечание ... не используйте ТОЛЬКО имя пользователя / пароль для вашего .htaccess, как для PHPMyAdmin ... это было бы глупо. :-)

Надеюсь это поможет.

Я согласен с htaccess (/ w пароль) и https.

Вы также можете рассмотреть возможность добавления второго IP-адреса к этому серверу и создания виртуального хоста Apache на основе IP-адреса для phpmyadmin. Это может быть просто IP-адрес локальной сети, поэтому он будет защищен брандмауэром (и у вас может даже не быть для него правила nat).

Чем больше слоев (например, htaccess + https + Virtualhost), тем лучше я думаю. В идеале боты вообще не должны иметь к нему доступ.

Конечно, вы всегда можете поместить phpmyadmin в другой ящик.

В дополнение к предоставленным ответам мы также используем OSSEC с открытым исходным кодом для мониторинга наших веб-журналов и предупреждения / блокировки этих сканирований.

Его очень просто установить, и по умолчанию он найдет ваши веб-журналы и начнет их отслеживать.

Ссылка на сайт: http://www.ossec.net

Переместите phpmyadmin в каталог, имя которого скрыто так, как можно было бы ожидать от пароля, то есть: сочетание букв в смешанном регистре, а также цифр (например, PhP01mY2011AdMin) и аналогичным образом «надежный» пароль, защищающий каталог с помощью .htpasswd, должен в значительной степени Покажи фокус.

Опять же, если безопасность ваших баз данных mysql жизненно важна для вашего бизнеса, нужно спросить: «Что вы делаете, чтобы сделать такой инструмент администрирования, как phpmyadmin, в первую очередь доступным для Интернета?» Но эй, у каждого есть свои причины жить.

  • HTTPS
  • Сделать доступным только через VPN / SSH туннель

phpmyadmin слишком сложно защищать. Вам понадобится mod_security и неделя времени на отладку предупреждений, чтобы отключить половину правил для обеспечения функциональности phpmyadmin. Заключение: не делайте его общедоступным.