LINUX.ORG.RU

Можно ли «встроить» phpMyAdmin" в сайт на Laravel?

 , ,


0

2

Подскажите пожалуйста. Есть сайт на Laravel 5.4, расположен на VPS - развернут с помощью Laradock. Развернут как единственный сайт, хочется туда добавить phpMyAdmin для удобства, но сделать его как отдельный сайт (как обычно) не хочется возиться (т.к. придется переворачивать все заново). Можно ли его как то интегрировать в сам сайт?

Ответ на: комментарий от resurtm

Cорян, это я туплю, распаковал в корень проекта, а надо в public. Спасибо за подсказку.

bluerose ()

Обязательно придумай для phpMyAdmin какую-нибудь «хитрую» URL-ку (естественно, только https://...) - чтобы туда не ломились все подряд - и забей её в конфиг веб-сервера с соответствующим сопоставлением папке, где лежит phpMyAdmin.

Папка с phpMyAdmin не должна лежать внутри document root-а! - она должна лежать где-то сбоку.

Первое, что делают всякие сканирующие боты - это проверка всех типовых URL-к доступа к phpMyAdmin.

vinvlad ()
Ответ на: комментарий от vinvlad

В чем смысл прятать адсреса, менять порты? Ротацию логов настроить не осилили? Так логи ввсе равно будут засираться, просто в соседнем месте.

mandala ★★★★ ()
Ответ на: комментарий от vinvlad

Спасибо за совет. Я ее удалю сразу после некоторых манипуляций и обратно при необходимости добавлю.

bluerose ()
Ответ на: комментарий от mandala

Смотрю в документации по Laradock есть раздел «Use PhpMyAdmin», кажется я пытаюсь изобрести велосипед. Видимо там есть контейнер для этого.

bluerose ()
Ответ на: комментарий от mandala

В чем смысл прятать адсреса, менять порты? Ротацию логов настроить не осилили?

Причем здесь логи? ) Есть такое слово «безопасность» - начнут подбирать пароли, крякнут базу данных...

Кроме того, репутация сайта подрывается. Выставив на весь мир страничку phpMyAdmin-а, сайт может попасть в категорию небезопасных.

vinvlad ()
Ответ на: комментарий от vinvlad

Скорее скомпрометируют через решето в самом сайте. А с такой логикой любой сервак с ssh на стандартном порту — тоже не безопасный. Ну не бред? Безопасность в другом месте делается.

mandala ★★★★ ()
Ответ на: комментарий от mandala

А с такой логикой любой сервак с ssh на стандартном порту — тоже не безопасный.

Ну, порт неплохо бы и поменять. Если нет ограничения в доступе к порту по IP и включена аутентификация по паролю - то да, сайт не очень безопасный. Если только по сертификату - то терпимо.

vinvlad ()
Ответ на: комментарий от vinvlad

Хорошо менять когда у тебя полтора человека с доступом и пара проектов. Когда ворох и доступы выдают/убираются часто — этот костыль только раздражает.

mandala ★★★★ ()
Ответ на: комментарий от mandala

... Когда ворох и доступы выдают/убираются часто — этот костыль только раздражает.

Это зависит от того, какого рода реально требуется доступ. Можно, к примеру, дать web-интерфейс используя прием «секретной» https URL-ки. Тогда круг потенциальных «нарушителей» кардинально сжимается.

vinvlad ()

А зачем все это? Если сложный юз-кейс, то не проще ли пустить в интернет какой-нибудь отличный от 3306 порт и настроить fail2ban?

Anoxemian ★★★★★ ()
Ответ на: комментарий от Anoxemian

не проще ли пустить в интернет какой-нибудь отличный от 3306 порт ...

так периодически сканируют абсолютно все порты сервера. Открывать наружу БД-шный порт не через туннель и без ограничения по IP - это не очень хорошая идея.

vinvlad ()
Ответ на: комментарий от Ford_Focus

тащемта перевесить ssh на другой порт и настроить fail2ban вполне себе правило хорошего тона

Согласен, с той лишь оговоркой, что fail2ban - не догма. Если вы поставили себе csf, то привязывать еще ручками к нему «fail2ban» или что-нибудь другое, что автоматом меняет правила iptables - это не очень-то и хорошо и удобно.

Ну а номер SSH-порта меняется сразу после установки сервера - это святое. Только ведь это не решает всех проблем и не отменяет использования других мер предосторожности. Смена номеров портов - это так... чтобы какие-нибудь школьники-студенты не ломились на ваш сервак.

Ну а использовать дополнительные меры или нет - это зависит от назначения сервера и каких-то личных предпочтений.

vinvlad ()
Ответ на: комментарий от mandala

Нужно еще http и https перевесить обязательно, а то пауки и боты атакуе! ...

Вы же должны понимать, что число попыток подбора паролей при смене 22-го порта на какой-нибудь другой, сокращается - так почему бы этого не сделать хотя бы разок, если это займет минуту?

Просто если вы когда-нибудь устроитесь на работу в какую-нибудь «сурьезную» контору и там отколете такой номер (оставите SSH на 22-ом порту), вас уволят.

vinvlad ()
Ответ на: комментарий от vinvlad

«сурьезную»

Вот если так в кавычках, то и слава богу. Вообще авторизация по паролю — это не безопасно.

mandala ★★★★ ()
Ответ на: комментарий от vinvlad

Ну а номер SSH-порта меняется сразу после установки сервера - это святое.

Вот соглашусь. Хоть пароль и не подберёт (и пользователь не root, и сам пароль длинный и рандомный), но пауза при входе всё ровно бесят. Так что на новом VPS сразу меняю порт, чтоб не стучались суки.

anonymous ()
Ответ на: комментарий от deadNightTiger

А ничего, что браузеры отправляют в гугл твои «секретные» URL?

А не надо использовать CDN-ресурсы на таких страничках - подправить не сложно.

vinvlad ()
Ответ на: комментарий от vinvlad

Кстати, я просто вынес phpmyadmin на поддомен основного сайта, который не светится в поисковиках.

Насколько это хорошее решение?

З.Ы. Пока не ломал, сканируют только основной домен.

Twissel ★★★★★ ()
Ответ на: комментарий от Twissel

Кстати, я просто вынес phpmyadmin на поддомен основного сайта, ...

В принципе, рано или поздно могут добраться до любого домена/поддомена, реально зарегистрированного в DNS.

Лучше не регистрировать такой поддомен в DNS, а просто прописать у себя на компе в /etc/hosts - тоже вариант. Ну и название поддомена, надеюсь, не phpmyadmin? :)

(для винды - C:\Windows\System32\drivers\etc\hosts)

vinvlad ()
Ответ на: комментарий от Twissel

Ваще-то в http есть авторизация. И не только по паролю. Можно по сертификату проверять клиента. Если серт правильный установлен - отображать ресур (пхп админ).

menangen ★★★★★ ()
Ответ на: комментарий от vinvlad

надеюсь, не phpmyadmin?

Ну это было бы неинтересно.

Хотя название ходовое, но боты о нём пока не догадываются

Twissel ★★★★★ ()
Ответ на: комментарий от menangen

Ваще-то в http есть авторизация.

Для nginx+php-fpm я не осилил ее настроить, хотя так правильнее, но нужда может заставить :-)

Twissel ★★★★★ ()

Чем phpMyAdmin на сайты таскать рекомендую https://www.adminer.org/. Почти тоже самое только одним файлом.

xSudo ★★★ ()
Ответ на: комментарий от Ford_Focus

Вы хотели сказать плохого тона?

Читайте Security through obscurity, исповедуемый вами подход ведет к большей небезопасности, чем вам кажется и дает призрачное ощущение защищенности

BaBL ★★★★★ ()
Ответ на: комментарий от vinvlad

Просто если вы когда-нибудь устроитесь на работу в какую-нибудь «сурьезную» контору и там отколете такой номер (оставите SSH на 22-ом порту), вас уволят.

Это вас в шарашкиной конторе с хреновой СБ и «эффективными менеджерами» за это уволят. В настоящей секьюрной конторе вас уволят за перевешенный ssh на другой порт. Безопасность достигается другим методом, 100500 китайских и школьных подборщиков никакой роли не играют с качественным паролем и установленными обновлениями, а целенаправленную атаку ваше перевешивание не остановит, порт найдут за 10 минут и будут применять совсем другие подходы к взлому, пока вы спокойно дрыхнете и думаете, что защищены, а когда сервер уже имеют - бегаете и пытаетесь вспомнить куда его повесили, на 522 или 10522

Отключаешь логин рутом, правильно настраиваешь sudo, ПОРТЫ НЕ ТРОГАЕШЬ, поднимаешь fail2ban, авторизацию делаешь по ключу - вот это хороший тон будет.

Если хочется немного STO добавить - то можешь knockd еще поставить, порты для этого менять не обязательно.

Еще не забудь, что администраторы иногда в отпуск уезжают и в каком-нибудь отеле может быть заблокирован VPN и нестандартные порты, оставишь своими чудо настройками компанию без возможности отражения атаки вообще.

BaBL ★★★★★ ()
Последнее исправление: BaBL (всего исправлений: 2)
Ответ на: комментарий от BaBL

смена порта это не про безопасность, а про отказ обслуживать тупых ботов, перебирающих «широкоиспользуемые» пароли на стандартном порту. не все же оперируют дедиками под проект

Ford_Focus ★★★★★ ()
Ответ на: комментарий от Ford_Focus

смена порта это не про безопасность, а про отказ обслуживать тупых ботов

Вам же уже предложили выше закрыть 80-ый, сильно ресурсы сервера разгрузите.

BaBL ★★★★★ ()
Ответ на: комментарий от BaBL

Вам же уже предложили выше закрыть 80-ый, сильно ресурсы сервера разгрузите

80-й порт - это порт сервиса, предоставляемого сервером окружающему миру. SSH-порт - это порт доступа к серверу для обслуживающего персонала (в контексте данного разговора). Немного разные сущности - осознаете? ) Стало быть, и подход к ним может быть разный...

Еще не забудь, что администраторы иногда в отпуск уезжают и в каком-нибудь отеле может быть заблокирован VPN и нестандартные порты, оставишь своими чудо настройками компанию без возможности отражения атаки вообще.

На этот случай в настоящей конторе есть другой администратор.

Собственно, нравится держать SSH на 22-ом порту и постоянно наблюдать мусор в логах - на здоровье.

vinvlad ()
Ответ на: комментарий от Ford_Focus

предпочитаю не гиперболизировать

Вы можете у себя как угодно настраивать, других не учите плохому просто. А то ж вас тут начитаются и полезут потом ко мне работать со своими мега идеями.

Вам все равно на этих портах нужно настраивать sshguard, fail2ban и иже с ними, о чем выше писалось, так зачем лишний раз нарушать стандарты и нормы? Хороший сисадмин упорядочивает службы, использует универсальные решения и не подкладывает свиней своим коллегам, заставляя их копаться в горах алиасов и тыкать nmap чтоб на сервер попасть.

BaBL ★★★★★ ()
Последнее исправление: BaBL (всего исправлений: 1)
Ответ на: комментарий от BaBL

Вот сейчас подумалось, у нас в этом треде ж нет ни слова про защиту или безопасность, вы тупо логи чистите себе таким способом. Так давайте не будем понятия подменять? А то я тут пишу про iptables, sshguard, knockd, а писать то надо про logrotate видать.

BaBL ★★★★★ ()
Ответ на: комментарий от BaBL

Вы можете у себя как угодно настраивать, других не учите плохому просто. А то ж вас тут начитаются и полезут потом ко мне работать со своими мега идеями ... так зачем лишний раз нарушать стандарты и нормы?

А вы у нас пуп земли - истина в последней инстанции?))) Кроме вас и вашей компании есть еще и другие места, где люди предпочитают работать по своему.

Мы не плохому учим, а учим мозги включать - обращаться к здравому смыслу, а не действовать по шаблону, на который настроены все боты, сканеры, хакеры и просто всякие раздолбаи по всему свету. И не только из чистых соображений безопасности, а и для того, чтобы снизить общее число различных атак (что может влиять и на стабильность работы сервера). Хотя иногда бывает просто необходимо оставить аутентификацию по паролю, открыв доступ только конкретной группе IP-шников (например, конкретного провайдера). Кроме корпоративных серверов, мил человек, есть еще частные VPS-сервера, где в жизнь вступают совсем другие соображения и правила, о которых вы даже не догадываетесь в силу своего весьма ограниченного жизненного опыта.

Хороший сисадмин упорядочивает службы, использует универсальные решения и не подкладывает свиней своим коллегам, заставляя их копаться в горах алиасов и тыкать nmap чтоб на сервер попасть.

У хорошего сисадмина все, кому нужно, знают конкретный номер SSH-порта, а другим и знать не положено. Если хороший сисадмин увольняется, то он корректно передает дела своему коллеге, а не просто сваливает из конторы хлопнув дверью. Кроме того, хороший сисадмин ведет документацию - чтобы новому человеку было максимально просто приступить к своим рабочим обязанностям.

vinvlad ()

Юзаю контейнер с phpMyAdmin в Laradock. Очень удобно, одной строчкой в терминале поднял и также вырубил. Все есть в документации. Проблема решена.

bluerose ()
Ответ на: комментарий от vinvlad

естественно, только https://...

штааа?! т.е. если я размещу чтото на https://... - то туда будут не ломиться все подряд? а только нужные люди? скажи телефон дилера, я тоже хочу такого добра!

shashilx ★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.