Установка и обеспечение безопасности phpmyadmin в ubuntu 20.04

Установка phpMyAdmin

Нет ничего проще, чем установить PMA на Linux. Я опишу как сделать это на Ubuntu 14.x в Digital Ocean. Зайдите на сервер через SSH.

Во время установки можете использовать стандартные настройки или подлатать их под себя.

Если вы ограничите доступ MySQL только через localhost (что вы должны сделать), то для хакера база будет вне зоны досягаемости. Конечно он может попытаться подключиться через SSH или осуществит атаку посредством SQL инъекций, но напрямую атаковать базу данных не сможет

Как только вы установите PMA, то данный инструмент становится потенциально уязвим для атак, поэтому меры предосторожности не повредят

Есть несколько мер, которые я бы посоветовал при конфигурировании PMA.

1. Используйте очень надежные пароли для всех учетных записей MySQL, особенно для пользователя root. Например, 25 символов для пароля.
2. Для каждого из сайтов, используйте различные учетные записи и привилегии. Таким образом, если один пароль будет украден, пострадает только одна база данных.
3. Меняйте стандартный URL доступа к PMA. Таким образом люди не смогут достучаться до него по адресу http://yourblog.com/phpmyadmin. Хотя данная мера не очень эффективна, она всё же увеличивает безопасность.

Добваляем алиас в файл :

Перезагружаем apache:

Теперь PMA будет доступен по адресу http://yourblog.com/myobscuredpma.

Если вам необходимо изменить пароль вашего phpMyAdmin, измените содержимое файла :

4. Настройте веб-аутентификацию для доступа к PMA. После этого вам потребуется ввести дополнительный пароль:

Для настройки ограничений пользователя apache следуйте этим шагам:

Установите из пакета :

Создайте директорию для хранения ваших паролей:

Добавьте в поддержку для PMA:

Далее добавьте :

<Directory /usr/share/phpmyadmin>
        Options FollowSymLinks
        DirectoryIndex index.php
        AllowOverride All

Настраиваем дополнительную аутентификацию:

AuthType Basic
AuthName "Login Required for Access"
AuthUserFile /etc/htpasswd/.htpasswd
Require valid-user

Укажите пароль:

И перезапустите Apache:

Теперь для доступа к PMA вам необходимо будет ввести ещё один пароль, как показано выше.

Linked-tables infrastructure (Инфраструктура связанных таблиц)

Для использования многих опций (закладок, комментариев, SQL-истории, PDF-схем, преобразования содержимого полей, и т.д.) необходимо создать набор специальных таблиц. Эти таблицы могут находиться как в Вашей базе данных, так и в центральной базе при многопользовательской системе (в этом случае данная БД может быть доступна только для пользователя controluser, соответственно, другие пользователи не имеют прав на неё).
Зайдите в директорию scripts/, здесь вы найдете файл create_tables.sql

(Если используете Windows сервер, обратите особое внимание на ).
Если у Вас установлена версия MySQL сервера 4.1.2 или более позднее, используйте вместо вышеуказанного файла create_tables_mysql_4_1_2+.sql, для новой инсталляции.
Если у вас уже есть готовая инфраструктура и вы обновляете MySQL до версии 4.1.2 или выше, используйте upgrade_tables_mysql_4_1_2+.sql.
Вы можете использовать phpMyAdmin для создания баз данных и таблиц, для этого необходимо обладать администраторскими привилегиями на создание баз данных и таблиц, в связи с чем скрипту может понадобиться небольшая настройка (указание названия базы данных).
После импорта create_tables.sql, Вы должны определить названия таблиц в файле config.inc.php, с помощью директив, описанных в разделе «Конфигурирование». Кроме этого необходимо обладать правами controluser на данные таблицы (см

ниже, раздел «Использование режима аутентификации»).

Настройка

Перед тем как начать, убедитесь, что PhpMyAdmin запущен и работает

Если вы залогинитесь, то, возможно, обратите внимание на сообщение следующего вида:. При клике на ссылку here (“здесь”), вас направят на страницу с пояснением того, что вы не активировали все возможности

Активировать их можно, добавив следующие строки в файл

При клике на ссылку here (“здесь”), вас направят на страницу с пояснением того, что вы не активировали все возможности. Активировать их можно, добавив следующие строки в файл .

$cfg = 'pma';
$cfg = 'pmapass';
$cfg = 'phpmyadmin';
$cfg = 'pma__bookmark';
$cfg = 'pma__relation';
$cfg = 'pma__table_info';
$cfg = 'pma__pdf_pages';
$cfg = 'pma__table_coords';
$cfg = 'pma__column_info';
$cfg = 'pma__history';
$cfg = 'pma__recent';
$cfg = 'pma__table_uiprefs';
$cfg = 'pma__users';
$cfg = 'pma__usergroups';
$cfg = 'pma__navigationhiding';
$cfg = 'pma__tracking';
$cfg = 'pma__userconfig';
$cfg = 'pma__designer_coords';
$cfg = ‘pma__favorite’;
$cfg = 'pma__savedsearches';

Смените имя пользователя, пароль и имя базы данных по вашему собственному усмотрению. Остальные конфигурационные значения — это имена таблиц. Если оставить их пустыми, то вы отключите соответствующие им возможности. Но вообще, я бы рекомендовал оставить эти названия как есть. В зависимости от версии PhpMyAdmin не все значения будут доступны по умолчанию. В данном случае я использовал версию PhpMyAdmin 4.2.x.

Когда вы закончите с конфигом, нужно будет создать базу данных. Создайте базу данных с именем, которое вы указали в вашем конфигурационном файле. Далее поищите файл с названием на вашей машине. Скорее всего, данный файл будет находиться в корневой директории установленного PhpMyAdmin, или в поддиректории scripts. Если у вас Linux, то расположение будет следущим или . Запустите этот файл в рамках созданной базы данных. Если вы меняли имена таблиц в вышеприведенном конфиге, не забудьте поменять их также и в базе данных.

Далее нам нужно создать пользователя с паролем, данные которого мы указали в конфиге. Выполните ниже приведенные запросы, не забыв подставить нужные имя пользователя и пароль.

GRANT USAGE ON mysql.* TO 'pma'@'localhost' IDENTIFIED BY 'pmapass';
GRANT SELECT (
    Host, User, Select_priv, Insert_priv, Update_priv, Delete_priv,
    Create_priv, Drop_priv, Reload_priv, Shutdown_priv, Process_priv,
    File_priv, Grant_priv, References_priv, Index_priv, Alter_priv,
    Show_db_priv, Super_priv, Create_tmp_table_priv, Lock_tables_priv,
    Execute_priv, Repl_slave_priv, Repl_client_priv
    ) ON mysql.user TO 'pma'@'localhost';
GRANT SELECT ON mysql.db TO 'pma'@'localhost';
GRANT SELECT ON mysql.host TO 'pma'@'localhost';
GRANT SELECT (Host, Db, User, Table_name, Table_priv, Column_priv)
    ON mysql.tables_priv TO 'pma'@'localhost';

GRANT SELECT, INSERT, UPDATE, DELETE ON phpmyadmin.* TO 'pma'@'localhost';

Давайте рассмотрим дополнительные возможности.

Contribute to phpMyAdmin

As a free software project, phpMyAdmin is very open to your contributions. You don’t
need developer skills to help, there are several non-coding ways to get involved
in a project (code is welcome too, of course!).

You may also decide to apply for a contract developer position with the project.

An invitation to students

To gain practical experience in open-source development, you are welcome to contribute to phpMyAdmin. Usually, this is volunteer work, but since 2008, our project has been part of Google Summer of Code. This program «offers post-secondary student developers ages 18 and older stipends to write code for various open source software projects». So, join us soon and get ready for the next GSoC!

Localization

phpMyAdmin is being translated to many languages, but maybe your language is not
really up to date? You can easily contribute on our
translation server.
You can find out more on the translation
page.

Testing and quality assurance

One important thing for us is to avoid problems in the user interface. You can really help
us here by providing feedback on releases and especially by testing the pre-releases
(alpha/beta/rc) we provide for testing. Just download them and report any issues
you face with them.

Documentation writer/tutorial creator

Do you
feel our documentation misses some points? We welcome additions; just
let us know how you think the documentation can be improved.
The best way is to submit a pull request
against our GitHub repository.
If you don’t know how to make these changes, we still want to hear your input.
You can submit a feature request
explaining your suggested improvements.

Also documentation does not have to be text only, we would welcome to have some
video tutorials giving users hints how to do specific tasks inside phpMyAdmin.

Developing

Coding contributions are very welcome, the easiest way is to fork our code on github
and submit a pull request. We really welcome bug fixes or new features.
You can find out more on the developers
page.

Bug/features screening/squashing

Our trackers, especially the
feature tracker,
contain dozens of entries which might already be implemented or don’t make much sense after years.
You can go through reported issues, verify if they still apply to latest version and
check whether they would be still useful. Also checking incoming reports for all required
information or whether they were already reported is welcome help.

Fund our project

We need money to allow our presence at conferences, buy new hardware or provide various
useful services to our users and developers. By donating
you help us in this area and possibly increase our presence at conferences.

We also use donated funds to hire contract developers who
are paid directly to work on bug fixing, new features, and other phpMyAdmin improvements.

PhpMyAdmin – история

Основателем проекта PHPMyAdmin является Тобиас Ратшиллер, программист из Германии, использовавший в качестве фундамента похожее программное обеспечение MySQL-Webadmin, созданное в 1997 году. Лавры идейного вдохновителя он передал в 2001 году своему коллеге – программисту Марку Делислу, создавшему со своей командой именно то, без преувеличения, чудо, которым предпочитают пользоваться почти все профессионально работающие во Всемирной сети.

Эта программа, оставаясь неизменно удобной и практически не изменяя своего интерфейса, постоянно модифицируется и улучшается вслед за появлением новых версий PHP и MySQL. На сегодняшний день актуальной версией этого веб-приложения является PHPMyAdmin 4.4.14, работающего совместно с MySQL 5 и PHP 5.2.

Шаг 2 — Настройка аутентификации и прав пользователя

При установке phpMyAdmin на ваш сервер автоматически создал пользователь базы данных с именем , который отвечает за определенные базовые процессы программы. Вместо того, чтобы выполнять вход с помощью этого пользователя и пароля администратора, которые вы задали при установке, рекомендуется войти с использование вашего root пользователя MySQL или пользователя, предназначенного для управления базами данных через интерфейс phpMyAdmin.

Настройка доступа по паролю для учетной записи root в MySQL

В системах Ubuntu при запуске MySQL 5.7 (и более поздние версии) для root пользователя MySQL по умолчанию устанавливается аутентификация с помощью плагина , а не пароля. Это позволяет обеспечить большую безопасность и удобство во многих случаях, однако это также может осложнить ситуацию, когда вам нужно предоставить внешней программе, например, phpMyAdmin, доступ к пользователю.

Чтобы войти в phpMyAdmin с root пользователем MySQL, вам нужно переключить метод аутентификации с на , если вы еще не сделали этого. Для этого откройте командную строку MySQL через терминал:

Затем проверьте, какой метод аутентификации используют ваши аккаунты пользователей MySQL с помощью следующей команды:

В этом примере вы можете видеть, что root пользователь действительно использует метод аутентификации с помощью плагина . Чтобы настроить для учетной записи root аутентификацию с помощью пароля, выполните следующую команду . Обязательно измените значение на надежный пароль по вашему выбору:

Затем выполните команду , которая просит сервер перезагрузить предоставленные таблицы и ввести в действие изменения:

Проверьте методы аутентификации, применяемые для каждого из ваших пользователей, чтобы подтвердить, что root пользователь больше не использует для аутентификации плагин :

В этом выводе вы можете увидеть, что пользователь root будет использовать аутентификацию по паролю. Теперь вы можете выполнить вход в интерфейс phpMyAdmin с помощью root пользователя с паролем, который вы задали ранее.

Настройка доступа по паролю для выделенного пользователя MySQL

Некоторые могут посчитать, что для их рабочего процесса лучше подходит подключение к phpMyAdmin с помощью специально выделенного пользователя. Чтобы сделать это, снова откройте командную строку MySQL:

Примечание. Если вы активировали аутентификацию по паролю, как указано в предыдущем разделе, вам потребуются другие команды для доступа к командной строке MySQL. Следующая команда будет запускать ваш клиент MySQL с обычными правами пользователя, и вы получите права администратора внутри базы данных только с помощью аутентификации:

Создайте нового пользователя и придумайте для него надежный пароль:

Затем предоставьте вашему новому пользователю соответствующие права. Например, вы можете предоставить пользователю права доступа ко всем таблицам в базе данных, а также можете добавлять, изменять и удалять права пользователя с помощью этой команды:

После этого закройте командную строку MySQL:

Теперь вы можете получить доступ к веб-интерфейсу, набрав доменное имя или открытый IP-адрес вашего сервера и добавив

Выполните вход в интерфейс с помощью root пользователя или с новым именем пользователя и паролем, которые вы только что задали.

При входе вы увидите пользовательский интерфейс, который будет выглядеть следующим образом:

Теперь, когда вы можете подключаться и взаимодействовать с phpMyAdmin, осталось только установить более жесткие правила безопасности системы, чтобы защитить ее от атак.

Step 3 — Securing Your phpMyAdmin Instance

Because of its ubiquity, phpMyAdmin is a popular target for attackers, and you should take extra care to prevent unauthorized access. One way of doing this is to place a gateway in front of the entire application by using Apache’s built-in authentication and authorization functionalities.

To do this, you must first enable the use of file overrides by editing your phpMyAdmin installation’s Apache configuration file.

Use your preferred text editor to edit the file that has been placed in your Apache configuration directory. Here, we’ll use :

Add an directive within the section of the configuration file, like this:

/etc/apache2/conf-available/phpmyadmin.conf

When you have added this line, save and close the file. If you used to edit the file, do so by pressing , , and then .

To implement the changes you made, restart Apache:

Now that you have enabled the use of files for your application, you need to create one to actually implement some security.

In order for this to be successful, the file must be created within the application directory. You can create the necessary file and open it in your text editor with root privileges by typing:

Within this file, enter the following information:

/usr/share/phpmyadmin/.htaccess

Here is what each of these lines mean:

• : This line specifies the authentication type that you are implementing. This type will implement password authentication using a password file.
• : This sets the message for the authentication dialog box. You should keep this generic so that unauthorized users won’t gain any information about what is being protected.
• : This sets the location of the password file that will be used for authentication. This should be outside of the directories that are being served. We will create this file shortly.
• : This specifies that only authenticated users should be given access to this resource. This is what actually stops unauthorized users from entering.

When you are finished, save and close the file.

The location that you selected for your password file was . You can now create this file and pass it an initial user with the utility:

You will be prompted to select and confirm a password for the user you are creating. Afterwards, the file is created with the hashed password that you entered.

If you want to enter an additional user, you need to do so without the flag, like this:

Then restart Apache to put authentication into effect:

Now, when you access your phpMyAdmin subdirectory, you will be prompted for the additional account name and password that you just configured:

After entering the Apache authentication, you’ll be taken to the regular phpMyAdmin authentication page to enter your MySQL credentials. By adding an extra set of non-MySQL credentials, you’re providing your database with an additional layer of security. This is desirable, since phpMyAdmin has been vulnerable to security threats in the past.

Как создать, удалить или изменить таблицу в базе данных phpMyAdmin

Внимание!
Редактирование базы данных может привести к некорректной работе вашего сайта. Перед внесением изменений создайте бэкап вашего сайта или обратитесь к разработчикам

Как добавить новую таблицу в базу данных

1. 1.

   Нажмите по необходимой базе данных:

2. 2.

   Внизу страницы в блоке «Создать таблицу» введите Имя новой таблицы, количество столбцов и нажмите ОК:

3. 3.

   Укажите данные для создания таблицы:

   Localhost, phpMyAdmin, как зайти

   Расшифровка значений:

4. 4.

   Нажмите Сохранить:

Как удалить базу данных phpMyAdmin

1. 2.

   Нажмите по таблице, которую вы хотите удалить:

2. 3.

   Перейдите на вкладку Операции:

3. 4.

   В блоке «Удалить данные или таблицу» нажмите Удалить таблицу (DROP):

4. 5.

   Нажмите ОК, чтобы подтвердить удаление:

Как изменить данные в таблице базы данных

1. 1.

   Нажмите по необходимой базе данных:

2. 2.

   Нажмите по таблице, в которой вы хотите изменить данные:

3. 3.

   Выберите нужную строку и нажмите Изменить:

4. 4.

   Внесите изменения и нажмите ОК:

Вопрос, как обновить phpMyAdmin на хостинге, не рассматривается в данной статье, так как phpMyAdmin обновляется автоматически для всего сервера.

History

Tobias Ratschiller, then an IT consultant and later founder of the software
company Maguma, started to work on a PHP-based web front-end to MySQL in 1998,
inspired by Peter Kuppelwieser’s MySQL-Webadmin. He gave up the project (and
phpAdsNew, of which he was also the original author) in 2000 because of lack
of time.

By that time, phpMyAdmin had already become one of the most popular PHP
applications and MySQL administration tools, with a large community of users
and contributors. In order to coordinate the growing number of patches, a
group of three developers, Olivier Müller, Marc Delisle and Loïc Chapeaux,
registered the phpMyAdmin project at SourceForge.net and took over the
development in 2001. Since 2015 the development is completely based
on GitHub.

phpMyAdmin

phpMyAdmin — это LAMP приложение, созданное специально для администрирования MySQL серверов. Написанный на PHP и доступный через web обозреватель, phpMyAdmin предоставляет графический интерфейс для задач администрирования баз данных.

Установка

Перед установкой phpMyAdmin вам потребуется доступ к базе MySQL на том же самом компьютере, где вы устанавливаете phpMyAdmin, либо на удаленном компьютере, доступным по сети. Подробности смотрите в разделе MySQL. Для установки в терминале введите:

sudo apt-get install phpmyadmin

По запросу выберите какой web сервер будет настроен для phpMyAdmin. В этом разделе предполагается использование в качестве web сервера Apache2.

Далее производим настройку apache для обеспечения работы phpMyAdmin.

Начиная с ubuntu 13.10 необходимо выполнить команды в терминале:

sudo ln -s /etc/phpmyadmin/apache.conf /etc/apache2/conf-available/phpmyadmin.conf
sudo a2enconf phpmyadmin
sudo /etc/init.d/apache2 reload

В обозревателе перейдите по адресу http://localhost/phpmyadmin . На странице входа введите root в качестве имени пользователя, или другого пользователя, если вы его настраивали, а также пароль этого пользователя MySQL.

Если на предыдущем шаге, когда заходите по адресу http://localhost/phpmyadmin, сервер выдает ошибку 404 — Not found, проверьте расположение файла phpmyadmin.conf. В случае ubuntu 12.04: если файл отсутствует по адресу /etc/apache2/conf.d/phpmyadmin.conf и при этом существует по адресу /etc/phpmyadmin/apache.conf, то переместите файл и перезапустите сервер:

sudo ln -s /etc/phpmyadmin/apache.conf /etc/apache2/conf.d/phpmyadmin.conf
sudo /etc/init.d/apache2 restart

После этого попробуйте снова войти через браузер.

Как только вы авторизуетесь, вы сможете при необходимости сменить пароль пользователя root, создавать пользователей, создавать/удалять базы данных, таблицы и пр.

Настройка

Файлы настройки phpMyAdmin находятся в /etc/phpmyadmin. Основной файл настроек — это /etc/phpmyadmin/config.inc.php. Этот файл содержит опции настройки, которые применяются к phpMyAdmin глобально.

Чтобы использовать phpMyAdmin для управления MySQL на другом сервере, настройте следующую запись в /etc/phpmyadmin/config.inc.php:

$cfg = 'db_server';

Замените db_server на актуальный IP адрес удаленного сервера базы данных. Также убедитесь, что компьютер с phpMyAdmin имеет права доступа к удаленной базе.

После настройки выйдите из phpMyAdmin и зайдите снова и вы получите доступ к новому серверу.

Файлы config.header.inc.php и config.footer.inc.php используются для добавления HTML верхнего и нижнего заголовков для phpMyAdmin.

Другим важным файлом настройки является /etc/phpmyadmin/apache.conf, который является символьной ссылкой на /etc/apache2/conf.d/phpmyadmin.conf и используется для настройки Apache2 по обслуживанию сайта phpMyAdmin. Файл содержит настройки по загрузке PHP, правам доступа к каталогу и пр. Для дополнительной информации смотрите раздел HTTPD — Apache2 интернет сервер.

Ограничить видимость для интернета

в файл /etc/apache2/conf-enabled/phpmyadmin.conf под строчкой

<Directory /usr/share/phpmyadmin> 

добавить

    Deny from all
    Allow from 127.0.0.1 109.172.13.224 192.168.1.

<-назад |
далее->

Настройка

Главный файл конфигурации находится в .

Определение удаленного сервера MySQL

Если MySQL-сервер находится на удалённом хосте, добавьте следующую строку в файл конфигурации:

$cfg = 'example.com';

Использование скрипта установки

# mkdir /usr/share/webapps/phpMyAdmin/config
# chown http:http /usr/share/webapps/phpMyAdmin/config
# chmod 750 /usr/share/webapps/phpMyAdmin/config

Добавление парольной фразы blowfish_secret

Требуется ввести уникальную строку длиной 32 символа, чтобы полноценно использовать алгоритм blowfish, используемый phpMyAdmin, что исключает сообщение об ошибке «ERROR: The configuration file now needs a secret passphrase (blowfish_secret)«:

/usr/share/webapps/phpMyAdmin/config.inc.php

$cfg = '...';

Включение хранилища настроек

Дополнительные параметры, такие как связывание таблиц, отслеживание изменений, создание PDF-файлов и запросы закладок, по умолчанию отключены, что приводит к отображению сообщения «The phpMyAdmin configuration storage is not completely configured, some extended features have been deactivated» на домашней странице.

Примечание: В этом примере предполагается, что вы используете стандартное имя пользователя pma в качестве и pmapass в качестве .

В , раскомментируйте (удалите символы «//») и при необходимости измените их на нужные учетные данные:

/usr/share/webapps/phpMyAdmin/config.inc.php

/* User used to manipulate with storage */
// $cfg = 'my-host';
// $cfg = '3306';
$cfg = 'pma';
$cfg = 'pmapass';

/* Storage database and tables */
$cfg = 'phpmyadmin';
$cfg = 'pma__bookmark';
$cfg = 'pma__relation';
$cfg = 'pma__table_info';
$cfg = 'pma__table_coords';
$cfg = 'pma__pdf_pages';
$cfg = 'pma__column_info';
$cfg = 'pma__history';
$cfg = 'pma__table_uiprefs';
$cfg = 'pma__tracking';
$cfg = 'pma__userconfig';
$cfg = 'pma__recent';
$cfg = 'pma__favorite';
$cfg = 'pma__users';
$cfg = 'pma__usergroups';
$cfg = 'pma__navigationhiding';
$cfg = 'pma__savedsearches';
$cfg = 'pma__central_columns';
$cfg = 'pma__designer_settings';
$cfg = 'pma__export_templates';

Настройка базы данных

Для создания необходимых таблиц доступны два варианта:

• Импортируйте , используя PhpMyAdmin.
• Выполните команду в терминале.

Настройка пользователя базы данных

Чтобы применить необходимые разрешения для , выполните следующий запрос:

Примечание: Обязательно замените все экземпляры и на значения, заданные в . Если вы настраиваете это для удалённой базы данных, вы также должны изменить на соответствующий хост.

GRANT USAGE ON mysql.* TO 'pma'@'localhost' IDENTIFIED BY 'pmapass';
GRANT SELECT (
    Host, User, Select_priv, Insert_priv, Update_priv, Delete_priv,
    Create_priv, Drop_priv, Reload_priv, Shutdown_priv, Process_priv,
    File_priv, Grant_priv, References_priv, Index_priv, Alter_priv,
    Show_db_priv, Super_priv, Create_tmp_table_priv, Lock_tables_priv,
    Execute_priv, Repl_slave_priv, Repl_client_priv
    ) ON mysql.user TO 'pma'@'localhost';
GRANT SELECT ON mysql.db TO 'pma'@'localhost';
GRANT SELECT ON mysql.host TO 'pma'@'localhost';
GRANT SELECT (Host, Db, User, Table_name, Table_priv, Column_priv)
    ON mysql.tables_priv TO 'pma'@'localhost';

Чтобы использовать функции закладок и отношений, установите следующие разрешения:

GRANT SELECT, INSERT, UPDATE, DELETE ON phpmyadmin.* TO 'pma'@'localhost';

Повторно войдите в систему, чтобы убедиться, что новые функции активированы.

Добавьте следующую строку в :

$cfg = '/tmp/phpmyadmin';

# rm -r /usr/share/webapps/phpMyAdmin/config