Cześć, Wiem że phpmyadmin ma dużo luk i trzeba go zabezpieczyć. Problem w tym, że nie wiem jak 😦 Wiem że można dodać jakieś okno popup do logowania ale nie wiem jak to zrobić. Pomożecie? 😃
Zabezpieczenie phpmyadmin
Zombie
vps, zabezpieczenia, phpmyadmin
szymhal
xSeKaBo
Aby logować się do phpmyadmin poprzez popup należy w pliku config.inc.php dodać linijkę:
$cfg['Servers'][$i]['auth_type'] = 'http';
I gotowe. ;)
Timo Moderator forum.lvlup.pro
szymhal:
zabezpieczyć xSeKaBo:
http ? Nie za bardzo wiem o co tutaj chodzi, ale czy http to dobra opcja by zabezpieczyć?
szymhal
Sugeruję się tym: https://ultimahost.zendesk.com/hc/pl/articles/201420746-Jak-zainstalowa%C4%87-i-zabezpieczy%C4%87-phpMyAdmin-w-systemie-Debian Posiadam PHP 5.6.0 i ten poradnik u mnie nie działa.
Nieznajomy11 Moderator forum.lvlup.pro
Najlepiej nie mieć phpmyadmin 😃
A tak na serio, jesli tylko my tego uzywamy, to wystarczy zmienić adres na np example.com/o222d i juz nikt raczej nie znajdzie tego panelu. Dodatkowe zabezpieczenie. ;)
xSeKaBo
Zapomniałem dodać iż znalazłem to tutaj Link. Nie sprawdzałem czy jest możliwa opcja zabezpieczenia poprzez https (Nie posiadam VPS, więc nie mogę sprawdzić i "podpiąć" phpmyadmin pod domenę oraz https) więc podałem http.
Toranktto
Nie można po prostu zablokować połączeń do PHA i umożliwić jedynie z twojego/serwera VPN adresu IP? To chyba najskuteczniejsze rozwiązanie, jeśli nie chcesz rezygnować z PHA.
Nieznajomy11:
A tak na serio, jesli tylko my tego uzywamy, to wystarczy zmienić adres na np example.com/o222d i juz nikt raczej nie znajdzie tego panelu. Dodatkowe zabezpieczenie. 😉
Security by obscurity to rozwiązanie jedynie doraźne i osobiście tego nie polecam jeżeli skrypt rzeczywiście jest dziurawy i można uzyskać dostęp bez wpisywania hasła (nie wiem czy tak jest, jeżeli nie - może to stanowić dodatkową warstwe obrony, ale poleganie tylko na tym linku jest bardzo ryzykowne).
szymhal
Adres ip mam zmienny, więc to odpada. Panelu nie mam pod example.pl/phpmyadmin, zmieniłem adres i to dawno, ale zastanawiam się czy to wystarczy.
Timo Moderator forum.lvlup.pro
Powinno, zawsze możesz zrobić VPNa z VPSa ale jeśli ci sie chce xD
Nieznajomy11 Moderator forum.lvlup.pro
Jak się chce bajery na stronie to się trzeba z tym liczyć, że jest to pewne ryzyko. Jednakże wątpię, żeby na aktualną wersję były jakieś exploity i podobne rzeczy. Zmiana linku to podobne działanie jak zmiana portu ssh, chodzi tutaj bardziej o boty skanujące sieć. Jeśli faktycznie by czegoś szukały, to będą patrzeć /pma i /phpmyadmin, nie jakieś inne linki :)
@szymhal możesz używać autoryzacji wbudowanej w phpmyadmin oraz dodatkowo np. tej z apache (htpasswd).
szymhal
Jak uruchomić ową autoryzację z pma oraz apache?
Nieznajomy11 Moderator forum.lvlup.pro
Autoryzacja jest wbudowana przecież w phpmyadmin, login.. hasło.. D:
A co do apache2, pierwszy wynik z google:
Wtedy masz zabezpieczenie z apache i to z phpmyadmina ;P
szymhal
Myslalem ze chodzi ci o inna z phpmyadmin. Zaraz przetestuje podeslany link.