Como proteger o phpmyadmin?

9

Eu verifiquei meus logs do apache, e, whooooaaa, há muitos bots tentando explorar o phpmyadmin. A primeira coisa que fiz foi mudar o nome do diretório para algo mais obscuro.

Mas, existem outras dicas para proteger o phpmyadmin?

(O banco de dados só está disponível na rede local)

    
por Boris Guéry 27.10.2009 / 18:52

8 respostas

13

Nós fazemos uma combinação de coisas:

  • Proteja o phpMyAdmin por meio do .htaccess ou da configuração do Apache, que solicita um login de nome de usuário / senha HTTP.
  • Proteja o phpMyAdmin via .htaccess ou a configuração do Apache para permitir apenas o acesso de determinados endereços IP confiáveis
  • Coloque o phpMyAdmin em seu próprio VirtualHost e execute-o em uma porta não padrão
  • Permitir somente conexões HTTPS para phpMyAdmin e não HTTP regular
  • Permitir apenas conexões a ele da LAN (use uma VPN para acessar o firewall e permitir conexões apenas se você estiver nessa LAN / VPN)
  • Não nomeie o diretório como algo óbvio como / phpMyAdmin /

Você também pode usar o encaminhamento de porta SSH para utilizar chaves SSH. Consulte o link

    
por 27.10.2009 / 19:43
6

Adicione um .htaccess que permita somente o acesso IP local à pasta phpmyadmin.

    
por 27.10.2009 / 19:00
6

Disponibilize o phpmyadmin em um vhost que seja acessível apenas a partir do host local e exija que os usuários usem o ssh e o encaminhamento de porta para obter acesso a ele.

    
por 27.10.2009 / 19:21
2

Use o .htaccess

Acabamos de lançar um arquivo .htaccess com proteção de nome de usuário / senha e (dependendo das circunstâncias) endereço IP.

Isso permite que os EUA acessem o recurso de maneira rápida e fácil a partir de computadores confiáveis, mas mantém os hackers fora.

Uma outra nota ... não use o MESMO nome de usuário / senha para o seu .htaccess como você faz para o PHPMyAdmin ... isso seria bobagem. : -)

Espero que isso ajude.

    
por 27.10.2009 / 19:10
2

Concordo com o htaccess (/ w password) e https.

Você também pode considerar adicionar um segundo IP a esse servidor e criar um host virtual do Apache baseado em IP para o phpmyadmin. Isso poderia ser apenas um IP de rede local, portanto ele seria protegido pelo firewall (e você pode nem ter uma regra nat para ele).

Quanto mais camadas (ou seja, htaccess + https + Virtualhost), melhor eu acho. O ideal é que os bots não consigam alcançá-lo em primeiro lugar.

Você pode sempre colocar o phpmyadmin em uma caixa diferente também.

    
por 27.10.2009 / 20:52
1

Além das respostas fornecidas, também usamos o OSSEC de código aberto para monitorar nossos registros da web e alertar / bloquear essas verificações.

É muito simples de instalar e, por padrão, ele encontra seus registros da web e começa a monitorá-los.

Link: link

    
por 30.10.2009 / 15:31
1

Mova o phpmyadmin para um diretório cujo nome é obscurecido da maneira que se espera de uma senha, ou seja: combinação de letras maiúsculas e minúsculas (PhP01mY2011AdMin, por exemplo) e senha "segura" protegendo o diretório com .htpasswd deve muito bem fazer o truque.

Então, novamente, se a segurança de seus bancos de dados mysql é vital para o seu negócio, é preciso perguntar "o que fazer fazendo uma ferramenta de administração como phpmyadmin acessível à internet em primeiro lugar?" Mas ei, todo mundo tem suas razões para viver.

    
por 05.01.2011 / 07:09
0
  • HTTPS
  • Tornar acessível somente através do túnel VPN / SSH

O phpmyadmin é um animal demais para ser protegido. Você precisaria do mod_security e de uma semana de depuração dos alertas apenas para desabilitar metade das regras para garantir a funcionalidade do phpmyadmin. Conclusão: não torná-lo publicamente acessível.

    
por 05.01.2011 / 09:33