[Linux-bruxelles] sécuriser phpMyAdmin ?
Didier Misson
didier.linux at gmail.com
Sam 8 Déc 23:15:09 CET 2007
Bonsoir,
Je sécurise (enfin, j'essaye) un serveur Ubuntu 7.10, mais la plupart
des choses sont identiques sur d'autres serveurs.
Quelles seraient d'après vous les choses à faire pour sécurisé
phpMyAdmin et mySQL ?
Evidemment, on pourrait ne pas installer phpMyAdmin, comme ça on serait
déjà obligé de rentrer ses commandes en mode texte en SSH :p)
oui... mais je ne maîtrise pas assez bien mySQL pour tout faire en ligne
de commande ;-)
Voici les éléments que j'ai trouvé en cherchant sur le net,
mais sont-ils pertinents ?
- vérifier que l'utilisateur root a bien un mot de passe dans mySQL
(c'est ok)
- changer le répertoire d'installation de phpMyAdmin :
pas la peine de faciliter les choses en laissant une URL standard du
genre http://www.monsiteweb.be/phpmyadmin .... :p)
- interdire (au cas où...) le download du fichier de config de phpMySQL
en mettant dans la config d'Apache2 :
<Files config.inc.php>
Order allow,deny
Deny from all
</Files>
- configurer Apache pour le SSL
- forcer le répertoire avec phpMyAdmin en https
- éventuellement, configurer pour que Apache demande un user/mot de
passe pour l'accès à ce dossier (mais ça fait un peu double emploie avec
le logon de phpMyAdmin
- éventuellement, configurer Apache pour n'autoriser l'accès au dossier
phpMyAdmin que depuis des IP locales (192.168....) (et alors pas de
bricolage à distance si problème mySQL :p )
- évidemment, sécurisé Apache2 (pas d' Indexes...)
Si vous avez des commentaires, conseils, trucs...
que ce soit pour MySQL ou Apache ou autre...
Merci
--
Didier
Google Talk : didier.misson at gmail.com
Jabber : didier.misson at amessage.be
http://didier.misson.net
Plus d'informations sur la liste de diffusion Linux-bruxelles