szymhal | 2017-07-27 09:19:54 UTC | #1
Cześć,
Wiem że phpmyadmin ma dużo luk i trzeba go zabezpieczyć. Problem w tym, że nie wiem jak :frowning:
Wiem że można dodać jakieś okno popup do logowania ale nie wiem jak to zrobić.
Pomożecie? :smiley:
xSeKaBo | 2017-07-27 10:20:50 UTC | #2
Aby logować się do phpmyadmin poprzez popup należy w pliku config.inc.php dodać linijkę:
$cfg['Servers'][$i]['auth_type'] = 'http';
I gotowe. ;)
Timo | 2017-07-27 10:31:58 UTC | #3
[quote=”szymhal, post:1, topic:3451”]
zabezpieczyć
[/quote]
[quote=”xSeKaBo, post:2, topic:3451”]
http
[/quote]
?
Nie za bardzo wiem o co tutaj chodzi, ale czy http to dobra opcja by zabezpieczyć?
szymhal | 2017-07-27 10:33:22 UTC | #4
Sugeruję się tym:
https://ultimahost.zendesk.com/hc/pl/articles/201420746-Jak-zainstalowa%C4%87-i-zabezpieczy%C4%87-phpMyAdmin-w-systemie-Debian
Posiadam PHP 5.6.0 i ten poradnik u mnie nie działa.
Nieznajomy11 | 2017-07-27 10:41:57 UTC | #5
Najlepiej nie mieć phpmyadmin :smiley:
A tak na serio, jesli tylko my tego uzywamy, to wystarczy zmienić adres na np example.com/o222d i juz nikt raczej nie znajdzie tego panelu. Dodatkowe zabezpieczenie. ;)
xSeKaBo | 2017-07-27 10:47:03 UTC | #6
Zapomniałem dodać iż znalazłem to tutaj Link.
Nie sprawdzałem czy jest możliwa opcja zabezpieczenia poprzez https (Nie posiadam VPS, więc nie mogę sprawdzić i “podpiąć” phpmyadmin pod domenę oraz https) więc podałem http.
Toranktto | 2017-07-27 10:52:59 UTC | #7
Nie można po prostu zablokować połączeń do PHA i umożliwić jedynie z twojego/serwera VPN adresu IP? To chyba najskuteczniejsze rozwiązanie, jeśli nie chcesz rezygnować z PHA.
[quote=”Nieznajomy11, post:5, topic:3451”]
A tak na serio, jesli tylko my tego uzywamy, to wystarczy zmienić adres na np example.com/o222d i juz nikt raczej nie znajdzie tego panelu. Dodatkowe zabezpieczenie. :wink:
[/quote]
Security by obscurity to rozwiązanie jedynie doraźne i osobiście tego nie polecam jeżeli skrypt rzeczywiście jest dziurawy i można uzyskać dostęp bez wpisywania hasła (nie wiem czy tak jest, jeżeli nie - może to stanowić dodatkową warstwe obrony, ale poleganie tylko na tym linku jest bardzo ryzykowne).
szymhal | 2017-07-27 10:55:20 UTC | #8
Adres ip mam zmienny, więc to odpada. Panelu nie mam pod example.pl/phpmyadmin, zmieniłem adres i to dawno, ale zastanawiam się czy to wystarczy.
Timo | 2017-07-27 10:56:34 UTC | #9
Powinno, zawsze możesz zrobić VPNa z VPSa ale jeśli ci sie chce xD
Nieznajomy11 | 2017-07-27 11:22:02 UTC | #10
Jak się chce bajery na stronie to się trzeba z tym liczyć, że jest to pewne ryzyko. Jednakże wątpię, żeby na aktualną wersję były jakieś exploity i podobne rzeczy. Zmiana linku to podobne działanie jak zmiana portu ssh, chodzi tutaj bardziej o boty skanujące sieć. Jeśli faktycznie by czegoś szukały, to będą patrzeć /pma i /phpmyadmin, nie jakieś inne linki :)
@szymhal możesz używać autoryzacji wbudowanej w phpmyadmin oraz dodatkowo np. tej z apache (htpasswd).
szymhal | 2017-07-27 11:41:52 UTC | #11
Jak uruchomić ową autoryzację z pma oraz apache?
Nieznajomy11 | 2017-07-27 12:04:26 UTC | #12
Autoryzacja jest wbudowana przecież w phpmyadmin, login.. hasło.. D:
A co do apache2, pierwszy wynik z google:
https://www.digitalocean.com/community/tutorials/how-to-set-up-password-authentication-with-apache-on-ubuntu-14-04
Wtedy masz zabezpieczenie z apache i to z phpmyadmina ;P
szymhal | 2017-07-27 11:55:19 UTC | #13
Myslalem ze chodzi ci o inna z phpmyadmin. Zaraz przetestuje podeslany link.
Aylin | 2019-01-03 14:19:17 UTC | #14