nicht angemeldet
Sicherheit und phpMyAdmin
Hallo zusammen,
in der Datei config_inc.php wird der Mechanismus zur Anmeldung festgelegt.
dir drei Varianten
config, coockie und http hat man zur auswahl.
Jetzt habe ich gelesen das die Variante http am sichersten ist
aber nicht von Windows-Apache unterstützt wird.
Kann man diese Sicherheitsschwachstelle umgehen?
Wie hoch ist das Risiko wenn man die Variante coockie benutzt?
Gibt es andere Möglichkeiten sich vor unbefugtem Zugriff auf phpMyAdmin zu schützen?
Danke im vorraus
Roni
-
Hallo,
Jetzt habe ich gelesen das die Variante http am sichersten ist
aber nicht von Windows-Apache unterstützt wird.also bei mir funktioniert es, wo hast du das denn gelesen?
ich könnte mir nur vorstellen, dass es ein Unterschied macht, ob PHP als CGI oder Modul Version läuft, denn bei der CGI-Version kann nicht auf den Benutzernamen zugegriffen werdenmfg
Twilo-
Hallo,
also bei mir funktioniert es, wo hast du das denn gelesen?
-> Installation und Bedienung phpMyAdmin
http://www.taggesell.de/Buecher/PHP-Buch/Ergaenzungen/phpmyadmin01.phpich könnte mir nur vorstellen, dass es ein Unterschied macht, ob PHP als CGI oder Modul Version läuft, denn bei der CGI-Version kann nicht auf den Benutzernamen zugegriffen werden
Ok ich muß die dumme Frage stellen.
CGI, Modul wo liegen die Unterschiede?
GRuss
Roni-
Hallo,
http://www.taggesell.de/Buecher/PHP-Buch/Ergaenzungen/phpmyadmin01.php
Totaler Käse, was das von Dir angesprochene Problem angeht.
CGI, Modul wo liegen die Unterschiede?
Für Dich interessant: Mit der Modulvariante geht 'http', in der CGI-Variante nicht.
Bei CGI ist PHP ein eigenständiges Programm, das bei jeder Anfrage vom Webserver aufgerufen wird, um Dein Script zu verarbeiten. Bei Modul ist PHP in Deinen Webserver integriert.
Siehe: < http://de3.php.net/manual/de/install.windows.php>
Viele Grüße,
Christian-
Hallo,
vielen Dank für eure Hilfe.
Wie das alles so läuft ist für mich weniger Interressant.
Ich muß nicht damit Arbeiten
Ich will nur einige Leute davon überzeugen das phpMyAdmin installiert wird. Diese Menschen haben aber bedenken wegen der Sicherheit. Diese bedenken wollte ich aus dem Weg schaffen, habe aber gemerkt das das alles nicht so einfach ist.Gruss
Roni
-
Hallo,
Ich will nur einige Leute davon überzeugen das phpMyAdmin installiert wird.
da braucht nix installiert werden, dass kann jeder User mit FTP Zugang bei sich einrichten
Datei bei phpmyadmin.net herunterladen, entpacken, config.inc.php anpassen und per FTP hochladen... funktioniert :-)mfg
Twilo-
Hallo,
da braucht nix installiert werden, dass kann jeder User mit FTP Zugang bei sich einrichten
Datei bei phpmyadmin.net herunterladen, entpacken, config.inc.php anpassen und per FTP hochladen... funktioniert :-)Ehrlich gesagt habe ich davon so wenig Ahnung dass ich jetzt fragen müsste: hochladen? wohin? in welchen Ordner?
Gruß
Roni-
Hallo,
da braucht nix installiert werden, dass kann jeder User mit FTP Zugang bei sich einrichten
Datei bei phpmyadmin.net herunterladen, entpacken, config.inc.php anpassen und per FTP hochladen... funktioniert :-)Ehrlich gesagt habe ich davon so wenig Ahnung dass ich jetzt fragen müsste: hochladen? wohin? in welchen Ordner?
unter Windows brauchste das natürlich nicht hochladen
bei Windows brauchste das einfahc in den htdocs Verzeichnis entpacken z.B. ./htdocs/phpMyAdmin/
danach einfach mit http://localhost/phpMyAdmin/ aufrufen
mfg
Twilo-
Hallo,
unter Windows brauchste das natürlich nicht hochladen
bei Windows brauchste das einfahc in den htdocs Verzeichnis entpacken z.B. ./htdocs/phpMyAdmin/
danach einfach mit http://localhost/phpMyAdmin/ aufrufen
Danke es hat geholfen.
Ich konnte die Verantwortlichen Personen davon überzeugen das phpMyAdmin zur Verfügung gestellt wird.
Indem ich ihnen mein Posting hier gezeigt habe, sie gemerkt haben dass ich keine Ahnung habe, und das es wohl auch sicher ist.
Ciao
Roni
-
-
-
-
-
-
Hallo,
also bei mir funktioniert es, wo hast du das denn gelesen?
-> Installation und Bedienung phpMyAdmin
http://www.taggesell.de/Buecher/PHP-Buch/Ergaenzungen/phpmyadmin01.phpomg... da steht ja WINDOWS :-/
das hab ich total übersehen ;-)ich könnte mir nur vorstellen, dass es ein Unterschied macht, ob PHP als CGI oder Modul Version läuft, denn bei der CGI-Version kann nicht auf den Benutzernamen zugegriffen werden
Ok ich muß die dumme Frage stellen.
CGI, Modul wo liegen die Unterschiede?
bei der Modul Variante wird es halt als Modul eingebunden...
php läuft dann als Webserver, deshalb sollte man da auch den Safe-Mode aktivieren.. etc.
die Modil Variante soll auch etwas schneller seinbei der CGI version wird bei jeden Aufruf ein eigener Prozes gestartet, PHP läuft mit den Rechten des Users
wenn du mehr darüber wissen möchtest, google kann sicherlich viel mehr erzählen :-)
mfg
Twilo-
Hallo Twilo,
bei der CGI version wird bei jeden Aufruf ein eigener Prozes gestartet,
Ja.
PHP läuft mit den Rechten des Users
Im Normalfall: Nein, es läuft genauso mit den Rechten des Webservers. Bei SUEXEC: Ja.
Viele Grüße,
Christian
-
-
-
-
Hello,
Gibt es andere Möglichkeiten sich vor unbefugtem Zugriff auf phpMyAdmin zu schützen?
Ja,
rm -fR phpMyAdmin
Harzliche Grüße aus http://www.annerschbarrich.de
Tom
--
Fortschritt entsteht nur durch die Auseinandersetzung der Kreativen
Nur selber lernen macht schlau-
Hallo,
Gibt es andere Möglichkeiten sich vor unbefugtem Zugriff auf phpMyAdmin zu schützen?
Ja,
rm -fR phpMyAdmin
och du bist aber gemein ;-)
mfg
Twilo -
Gibt es andere Möglichkeiten sich vor unbefugtem Zugriff auf phpMyAdmin zu schützen?
Ja,
rm -fR phpMyAdmin
Nächstes Mal: Lies das Ausgangsposting genauer. Da stand "Windows".
-
Hallo,
rm -fR phpMyAdmin
Nächstes Mal: Lies das Ausgangsposting genauer. Da stand "Windows".
das hab ich auch total übersehen :-/
mfg
Twilo-
Hello,
rm -fR phpMyAdmin
Nächstes Mal: Lies das Ausgangsposting genauer. Da stand "Windows".
das hab ich auch total übersehen :-/
Gibts da nicht auch was gegen? Vielleicht von ...
Harzliche Grüße aus http://www.annerschbarrich.de
Tom
--
Fortschritt entsteht nur durch die Auseinandersetzung der Kreativen
Nur selber lernen macht schlau-
Hallo,
rm -fR phpMyAdmin
Nächstes Mal: Lies das Ausgangsposting genauer. Da stand "Windows".
das hab ich auch total übersehen :-/
Gibts da nicht auch was gegen? Vielleicht von ...
solange du deinen Namen noch weisst, würde ich mir keine Sorgen machen :-)
mfg
Twilo-
Hello,
rm -fR phpMyAdmin
Nächstes Mal: Lies das Ausgangsposting genauer. Da stand "Windows".
das hab ich auch total übersehen :-/
Gibts da nicht auch was gegen? Vielleicht von ...
solange du deinen Namen noch weisst, würde ich mir keine Sorgen machen :-)
Nee, nicht gegen Hildesheimer, sondern gegen Windows ... ;-)
Harzliche Grüße aus http://www.annerschbarrich.de
Tom
--
Fortschritt entsteht nur durch die Auseinandersetzung der Kreativen
Nur selber lernen macht schlau
-
-
-
-
-
-
Hallo!
in der Datei config_inc.php wird der Mechanismus zur Anmeldung festgelegt.
dir drei Varianten
config, coockie und http hat man zur auswahl.
Jetzt habe ich gelesen das die Variante http am sichersten ist
aber nicht von Windows-Apache unterstützt wird.Kann man diese Sicherheitsschwachstelle umgehen?
Wie hoch ist das Risiko wenn man die Variante coockie benutzt?Gibt es andere Möglichkeiten sich vor unbefugtem Zugriff auf phpMyAdmin zu schützen?
Ich verwende für solche Sachen wie phpMyAdmin ein eigenes Verzeichnis, nach Möglichkeit sogar einen eigenen vhost. Dieser ist nur per SSL und Basic-Auth zugänglich. Für phpmyadmin verwende ich dann die "config"-Variante. Auf diese Weise sind potentiell unsichere Scritpe wie eben phpmyadmin gar nicht direkt zugänglich.
Grüße
Andreas--
SELFHTML Tipps & Tricks: http://aktuell.de.selfhtml.org/tippstricks/-
Hello,
Ich verwende für solche Sachen wie phpMyAdmin ein eigenes Verzeichnis, nach Möglichkeit sogar einen eigenen vhost. Dieser ist nur per SSL und Basic-Auth zugänglich. Für phpmyadmin verwende ich dann die "config"-Variante. Auf diese Weise sind potentiell unsichere Scritpe wie eben phpmyadmin gar nicht direkt zugänglich.
Könntest Du das bei Gelegenheit mal etwas näher ausführen? Vielleicht als Feature-Artikel? (Ok, meiner ist auch immer noch nicht fertig...)
Harzliche Grüße aus http://www.annerschbarrich.de
Tom
--
Fortschritt entsteht nur durch die Auseinandersetzung der Kreativen
Nur selber lernen macht schlau-
Hi Tom!
Könntest Du das bei Gelegenheit mal etwas näher ausführen? Vielleicht als Feature-Artikel? (Ok, meiner ist auch immer noch nicht fertig...)
Naja, ich schiebe schon so viele Sachen vor mir her, das sieht im Moment nicht so gut aus ;-)
Abgesehen davon ist das auch etwas wenig Stoff für einen FA, dazu noch sehr speziell. Ich erstelle halt einen neuen, nur per SSL zugänglichen IP-basierten Virtual Host, wo ich für <Directory /> Basic-Auth konfiguriere. So Sachen wie phpmyadmin, cacti, phpsysinfo... installiere ich dann bequem per emerge (Gentoo Portage) in /var/www/localhost/htdocs, und verwende aus meinem "Admin-Vhost" die Alias-Direktieve um auf die entsprechenden Pakete zugreifen zu können. Das hat den Vorteil dass ich die Pakete unabhängig per emerge updaten kann...Wenns Dich interessiert, hier mal die vhost-Konfiguration:
<VirtualHost a.b.c.d:443>
# General setup for the virtual host
ServerName admin.example.com
DocumentRoot /var/www/example.com/admin/htdocsCustomLog /var/log/apache/access_log.admin.example.com combined
ErrorLog /var/log/apache/error_log.admin.example.comAlias /phpmyadmin /var/www/localhost/htdocs/phpmyadmin
Alias /phpsysinfo /var/www/localhost/htdocs/phpsysinfo
Alias /cacti /var/www/localhost/htdocs/cacti<Directory />
AuthType Basic
AuthName "admin"
AuthUserFile /var/www/example.com/admin/conf/.htusers
Require valid-user
</Directory>
<Directory /var/www/example.com/admin/htdocs>
Order Allow,Deny
Allow From All
</Directory># SSL settings
SSLEngine on
SSLCipherSuite ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP:+eNULL
SSLCertificateFile conf/ssl/admin.crt
SSLCertificateKeyFile conf/ssl/admin.key
SetEnvIf User-Agent ".*MSIE.*" nokeepalive ssl-unclean-shutdown
RewriteEngine On
RewriteOptions inherit</VirtualHost>
Vergleichbares geht natürlich auch in einem Unterverzeichnis des "normalen" Vhosts, wichtig ist dass man SSL und eine Authentifizierung erzwingt. Und man muss aufpassen dass man mit Alias etc. die Authentifizierung nicht versehentlich selber aushebelt.
Wobei ich grade eigentlich dabei bin eher auf den wunderbaren lighttpd in Kombination mit fastcgi umzustellen ;-)
Grüße
Andreas--
SELFHTML Linkverzeichnis: http://aktuell.de.selfhtml.org/links/-
Hello,
Danke.
Das ist erstmal wieder genug Stoff fürs Wochenende, wenn eins überhaupt reicht dafür. ;-)Harzliche Grüße aus http://www.annerschbarrich.de
Tom
--
Fortschritt entsteht nur durch die Auseinandersetzung der Kreativen
Nur selber lernen macht schlau
-
-
-