LAMPVPS

phpmyadmin installieren und sicherer machen mit Apache und Ubuntu 16.04 LTS

Heute widmen wir uns mal phpmyadmin und wie man es etwas absichern kann. Auch wenn ich kein Freund von phpmyadmin bin und lieber auf herkömmliche Weise meine mysql-server administriere. Es kommt nicht selten vor, dass im Netz die phpmyadmin-Anmeldung öffentlich erreichbar ist. Das solltet Ihr auf jeden Fall vermeiden.

Falls wir phpmyadmin noch nicht installiert haben, holen wir das ganz einfach über apt nach:

sudo apt-get update
sudo apt-get install phpmyadmin php-mbstring php-gettext

Sobald die Installation begonnen hat, öffnet sich eine Abfrage von phpmyadmin:

Hier müssen wir darauf achten, dass zwar apache2 vorausgewählt ist, aber noch nicht gesetzt wurde. Das tun wir mit der Leertaste (zu sehen am Sternchen):

Im nächsten Schritt lassen wir die automatische Konfiguration der DB zu, das Anwendungspasswort bleibt leer (automatisch erstellt)

Unter https://deine.domain.tld/phpmyadmin ist jetzt unsere Anmeldung für jeden erreichbar:

Das wollen wir natürlich vermeiden und setzen einen weiteren Sicherheitsmechanismus davor. Der einfachste Weg führt über eine .htaccess Datei.
Dazu müssen wir aber erst einmal in der phpmyadmin-Konfiguration erlauben, dass .htaccess-Dateien genutzt werden dürfen:

sudo nano /etc/apache2/conf-available/phpmyadmin.conf

Hier setzen wir hinter

DirectoryIndex index.php

die Direktive

AllowOverride All

Also:

Options FollowSymLinks
    DirectoryIndex index.php
   AllowOverride All
    ....

Danach speichern wir die Datei ab (STRG+x) und starten Apache2 neu:

sudo service apache2 restart

Im nächsten Schritt erstellen wir eine entsprechende .htaccess-Datei:

sudo nano /usr/share/phpmyadmin/.htaccess

In die Datei fügen wir den folgenden Inhalt ein:

AuthType Basic
AuthName "Nur authorisierter Zugriff, alles wird aufgezeichnet"
AuthUserFile /etc/phpmyadmin/.htpasswd
Require valid-user

Wir benötigen noch das Paket apache2-utils, falls nicht schon installiert, ziehen wir das mit dem folgendem Befehl nach:

sudo apt-get install apache2-utils

Wenn installiert haben wir das Tool htpasswd zur Verfügung, welches wir in den nächsten Schritten benötigen.

Mit:

sudo htpasswd -c /etc/phpmyadmin/.htpasswd Benutzername

legen wir unser Passwort für den ersten Benutzer an. Wir vermeiden einen Benutzer und ein Passwort, das es auf dem System schon gibt.

Wenn wir weitere Benutzer hinzufügen möchten wird die Option “-c” einfach weggelassen.

Nun testen wir unsere Vorkehrungen und rufen phpmyadmin noch einmal mittels Browser auf und siehe da:

Zumindest fühlen wir uns jetzt schon etwas sicherer 😉 Wenn was nicht klappt, einfach melden…

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.