一尘不染

如何保护phpMyAdmin

mysql

我注意到我的网站上有奇怪的请求,试图找到phpmyadmin,例如

/phpmyadmin/
/pma/

等等

现在,我已经通过apt在Ubuntu上安装了PMA,并希望通过不同于/ phpmyadmin /的网址访问它。我该怎么做才能改变它?

谢谢


更新资料

对于Ubuntu
9.10和Apache2,相应的设置位于该文件/etc/apache2/conf.d/phpmyadmin.conf的链接中/etc/phpmyadmin/apache.conf。该文件包含

Alias /phpmyadmin /usr/share/phpmyadmin

/phpmyadmin如果要避免不必要的活动,则应将第一个更改为其他内容,例如:

Alias /secret /usr/share/phpmyadmin

阅读 244

收藏
2020-05-17

共1个答案

一尘不染

最大的威胁是攻击者可能利用诸如以下的漏洞:目录遍历,或使用SQL
Injection调用load_file()以读取配置文件中的纯文本用户名/密码,然后使用phpmyadmin或通过tcp端口3306登录。作为pentester,我使用了这种攻击模式来破坏系统。

这是锁定phpmyadmin的好方法:

  • 禁止远程root登录! 相反,可以将phpmyadmin配置为使用“ Cookie身份验证”来限制哪些用户可以访问系统。如果您需要一些root特权,请创建一个可以添加/删除/创建但没有grant或的自定义帐户file_priv
  • file_priv从每个帐户中删除权限。file_priv是MySQL中最危险的特权之一,因为它允许攻击者读取文件或上传后门。
  • 有权访问phpmyadmin界面的白名单IP地址。这是一个.htaccess重新设置示例:
Order deny,allow
Deny from all
allow from 199.166.210.1
  • 没有可预测的文件位置,例如:http://127.0.0.1/phpmyadmin。Nessus / Nikto / Acunetix / w3af等漏洞扫描程序将对此进行扫描。

  • 关闭tcp端口3306的防火墙,以使攻击者无法访问它。

  • 使用HTTPS,否则数据和密码可能会泄露给攻击者。如果您不想花30美元购买证书,请使用自签名。您将接受一次,即使由于MITM而更改它,也会收到通知。

2020-05-17