Я играл с phpMyAdmin и считаю, что это хороший инструмент, но я много читал в Интернете о дырах в безопасности. Вы бы порекомендовали установить / использовать phpMyAdmin на производственном веб-сервере?
Я полагаю, что если бы я разрешил доступ только через localhost и изменил его на нестандартный порт, это помогло бы. Но достаточно ли этого?
Вы бы порекомендовали установить / использовать phpMyAdmin на производственном веб-сервере?
Нет, просто.
phpMyAdmin имеет печально известную историю безопасности, как подробно описано на Безопасность.
Вы не говорите, какую платформу используете, но предполагая, что у вас есть удаленный доступ, я предлагаю:
Когда вам нужно выполнить базовые задачи, такие как проверка статуса или выполнение дампа.
Узнайте, как использовать несколько основных утилит SQL и командной строки из памяти. Вы обнаружите, что часто бывает быстрее, чем использование phpMyAdmin для достижения того же результата, и они будут бесценными в чрезвычайной ситуации.
Когда вам нужно выполнить задачи, которые неудобны или невозможны без графического интерфейса.
Используйте локального клиента с туннельным доступом (например, SSH) к серверу MySQL на localhost. Таким образом, у вас есть все возможности хорошего клиента, безопасный транспорт и ограниченный доступ. Некоторые хорошие клиенты - это Navicat, HeidiSQL и SQLyog. Некоторые из этих клиентов даже автоматически настроят туннели.
Мы устанавливаем его на производственную машину и выставляем прямо в Интернет. Однако мы веб-хостинг, поэтому у нас нет выбора в этом вопросе.
Главное - быть в курсе новых версий и следить за списком рассылки по безопасности. Мы также можем обновить наши установки phpMyAdmin одним щелчком мыши с помощью наших сценариев обновления.
По крайней мере, поменяйте папку по умолчанию ... Мои логи просто заполнены сотнями попыток найти вариант папки phpmyadmin. Я предпочитаю использовать что-то случайное, по крайней мере, это отпугнет ботов.
Кроме того, ограничьте доступ к доверенным IP-адресам или используйте каталог, защищенный паролем, и убедитесь, что у вас нет легко взломанных пользователей в Mysql (или для создания очень ограниченных и специализированных пользователей для использования phpmyadmin).
PhpMyAdmin - это КРУПНЫЙ вектор атаки, используемый хакерами. У меня есть особые меры предосторожности на моих веб-серверах, настроенных специально для этого. Я уверен, что любые журналы атак на веб-серверы покажут эксплойты PhpMyAdmin как наиболее проверенные атаки. По крайней мере, мой.
Это не означает, что вы вообще не можете его использовать (хотя я бы не стал, туннелированные решения ssh намного лучше). Только не полагайтесь только на его безопасность:
Однако, если бы я был вами, я бы использовал последнюю версию MySQL Workbench с интегрированной возможностью подключения через ssh-туннель. Даже тогда ограничьте доступ к порту 22 адресами, которые, как вы знаете, принадлежат вам.
Изменение порта, на котором он работает, - это в лучшем случае "скрытая безопасность", не полагайтесь на какую-либо выгоду от этого; Вы можете отмахнуться от нескольких скрипачей, но вы также будете выставлять себя за управление нестандартной настройкой.
Я бы сказал - не делайте этого доступным на производственном сервере, если вам это сойдет с рук - то есть, если бизнес не запрашивает его явно. Один из способов, по крайней мере, улучшить безопасность, - это постоянно «выключать» его, если администратор не включит его, и даже в этом случае, либо с помощью политики, либо с помощью тайм-аута неактивности, он должен снова выключиться.
Это аналогично высказыванию: «Мне нужна входная дверь, но я буду держать ее запертой, если мне не нужно ею пользоваться, и тогда я открою ее на время».
Наконец, помните, что обеспечить удобство для пользователей / персонала всегда легко, убрать его намного сложнее, поэтому, опять же, не добавляйте его, если в этом нет необходимости.
Он установлен на моем веб-сервере. У меня есть разрешения на каталог d--------- если мне не нужен к нему доступ, я:
at работа, чтобы вернуть ихЯ также постоянно обновляю его.