[Linux-bruxelles] sécuriser phpMyAdmin ?

[Didier Misson]

Bonsoir,

Je sécurise (enfin, j'essaye) un serveur Ubuntu 7.10, mais la plupart
des choses sont identiques sur d'autres serveurs.

Quelles seraient d'après vous les choses à faire pour sécurisé
phpMyAdmin et mySQL ?

Evidemment, on pourrait ne pas installer phpMyAdmin, comme ça on serait
déjà obligé de rentrer ses commandes en mode texte en SSH :p)

oui... mais je ne maîtrise pas assez bien mySQL pour tout faire en ligne
de commande ;-)

Voici les éléments que j'ai trouvé en cherchant sur le net,
mais sont-ils pertinents ?


- vérifier que l'utilisateur root a bien un mot de passe dans mySQL
(c'est ok)


- changer le répertoire d'installation de phpMyAdmin :
pas la peine de faciliter les choses en laissant une URL standard du
genre http://www.monsiteweb.be/phpmyadmin ....  :p)


- interdire (au cas où...) le download du fichier de config de phpMySQL
en mettant dans la config d'Apache2 :
<Files config.inc.php>
    Order allow,deny
    Deny from all
</Files>


- configurer Apache pour le SSL
- forcer le répertoire avec phpMyAdmin en https


- éventuellement, configurer pour que Apache demande un user/mot de
passe pour l'accès à ce dossier (mais ça fait un peu double emploie avec
 le logon de phpMyAdmin


- éventuellement, configurer Apache pour n'autoriser l'accès au dossier
phpMyAdmin que depuis des IP locales (192.168....) (et alors pas de
bricolage à distance si problème mySQL :p )


- évidemment, sécurisé Apache2 (pas d' Indexes...)


Si vous avez des commentaires, conseils, trucs...
que ce soit pour MySQL ou Apache ou autre...

Merci

-- 
Didier

Google Talk : didier.misson at gmail.com
Jabber : didier.misson at amessage.be
http://didier.misson.net