web-dev-qa-db-ja.com

phpmyadminを本番Webサーバーにインストールしますか?

私はphpMyAdminで遊んでいて、それは良いツールだと思いますが、セキュリティホールについてインターネットでたくさん読んでいます。プロダクションWebサーバーにphpMyAdminをインストール/使用することをお勧めしますか?

ローカルホスト経由のアクセスのみを許可し、それを非標準ポートに変更すると役立つと思います。しかし、それで十分ですか?

4
BLAKE

プロダクションWebサーバーにphpMyAdminをインストール/使用することをお勧めしますか?

いいえ、簡単です。

phpMyAdminには、 SecurityFocus で詳しく説明されている悪名高いセキュリティ履歴があります。

使用しているプラ​​ットフォームはわかりませんが、リモートアクセスがあると仮定すると、次のことをお勧めします。

  • ステータスの確認やダンプの実行などの基本的なタスクを実行する必要がある場合。

    メモリからいくつかの基本的なSQLおよびコマンドラインユーティリティを使用する方法を学びます。多くの場合、phpMyAdminを使用して同じ結果を得るよりも高速である可能性があり、緊急事態では非常に貴重な役割を果たします。

  • GUIなしでは厄介または不可能なタスクを実行する必要がある場合。

    ローカルホスト上のMySQLサーバーへのトンネルアクセス(SSHなど)を持つローカルクライアントを使用します。このようにして、優れたクライアント、安全なトランスポート、および制限されたアクセスのすべてのパワーを利用できます。優れたクライアントには、Navicat、HeidiSQL、SQLyogなどがあります。これらのクライアントの中には、トンネルを自動的にセットアップするものもあります。

12
Dan Carley

本番マシンにインストールし、インターネットに直接公開します。私たちはウェブホストですが、問題についてはほとんど選択肢がありません。

主なことは、新しいバージョンを最新の状態に保ち、セキュリティメーリングリストに従うことです。アップグレードスクリプトを使用して、phpMyAdminのインストールをワンクリックでアップグレードすることもできます。

3
Ryaner

少なくとも、デフォルトのフォルダを変更してください...私のログは、「phpmyadmin」フォルダのバリアントを見つけるための何百もの試みでいっぱいになっています。私はランダムなものを使用することを好みます、少なくともそれはボットを遠ざけるでしょう。

また、信頼できるIPへのアクセスを制限するか、パスワードで保護されたディレクトリを使用し、Mysqlでユーザーを簡単にハッキングしないようにします(またはphpmyadminが使用する非常に制限された特殊なユーザーを作成します)。

2
Berzemus

PhpMyAdminは[〜#〜] major [〜#〜]ハッカーが使用する攻撃ベクトルです。そのために特別に構成されたWebサーバーには特別な注意があります。 Webサーバーの攻撃ログには、最も試行された攻撃としてPhpMyAdminエクスプロイトが表示されると確信しています。少なくとも私はそうします。

今では、それをまったく使用できないという意味ではありません(私はそうは思いませんが、sshで調整されたソリューションの方がはるかに優れています)。セキュリティだけに完全に依存しないでください。

  • デフォルトのパスにインストールしないでください。
  • Apache構成を使用して、自分のものであることがわかっているIPアドレスへのアクセスを制限します。
  • Mod_securityを使用します。

ただし、私があなたなら、統合されたssh調整接続機能を備えたMySQLWorkbenchの最新バージョンを使用します。それでも、ポート22へのアクセスを自分のものであることがわかっているアドレスに制限します。

1

実行するポートの変更は、せいぜい「隠すことによるセキュリティ」であり、そこから得られるセキュリティに依存しないでください。いくつかのスクリプトキディを振り払うかもしれませんが、非標準のセットアップを管理することに我慢することにもなります。

私は言うでしょう-あなたがそれをうまくやることができるなら-つまり、ビジネスがそれを明示的に要求しないなら、それを本番サーバーで利用可能にしないでください。少なくともセキュリティを向上させる1つの方法は、管理者がスイッチをオンにしない限り、常に「スイッチをオフ」にすることです。それでも、ポリシーまたは非アクティブタイムアウトを介して、スイッチをオフに戻す必要があります。

これは、「玄関のドアが欲しいのですが、使用する必要がない限り、常に施錠しておき、一時的に開けます」と言っているのと似ています。

最後に、ユーザー/スタッフに利便性を与えることは常に簡単であり、それを取り除くことははるかに難しいことを忘れないでください。したがって、本当に必要な場合を除いて、追加しないでください。

0
Xerxes

Webサーバーにインストールしています。 d---------にアクセスする必要がない限り、ディレクトリに対するアクセス許可があります。

  • サーバーへのssh
  • パーマを変更する
  • それらを元に戻すには、atジョブを設定します
  • apacheベースのログインには.htaccessファイルを使用します。

また、常に最新の状態に保つようにしています。

0
warren