管理MySQL資料庫專用的phpMyAdmin安全又好用?


專為系統管理者、MIS/IT設置的會議室
虛擬画像
作成: 10/29/07 06:48pm
雖然在 “時尚の蘋果集錦 III” 這本書裡有介紹 phpMyAdmin,並不表示我們也是 phpMyAdmin 的愛用者喔~ >:)
要管理 MySQL 資料庫,對於把網站架設在免費或付費網路空間的人來說,phpMyAdmin 是他們唯一的選擇,因為網路主機廠商絕對不可能開放一個可以直達伺服器主機內部的環境,所以網頁管理界面的 phpMyAdmin 是他們唯一的選擇。 >:)

而許多 Linux 由於不能使用視窗管理界面的 MySQL Administrator,也因此 phpMyAdmin 是他們唯一的選擇! >:)

我不好意思拿其他網站展示,只好委屈一下姊妹站,由於很多網站都是使用 phpMyAdmin 管理 MySQL 資料庫,雖然從表面上看不出來...

画像

但是只要從 Google 搜尋 AppServ 或 phpMyAdmin 字樣,就會找到一大堆使用 phpMyAdmin 管理的網站,這時候只要手動在網址列自己輸入 phpmyadmin 網址:

画像

就會看到這樣的登入畫面! >:) >:) >:)

画像

我們知道了預設的網址就是 /phpmyadmin/,也已知管理者帳號絕對是 root,現在就剩下 “密碼” 而已!拿個暴力破解機,假以時日絕對能猜中密碼!甚至利用 phpMyAdmin 的安全性漏洞,直接在網址列輸入 phpmyadmin/OOXX.php 檔案,騙過帳號登入畫面,就能入侵到 MySQL 伺服器了!

這比起不知道網址、不知道管理者帳號,更不知道密碼,一問三不知的架設方式,顯然使用預設的 phpMyAdmin 危險得太多了!但就算 “一問三不知”,比起根本無法在網址列直接登入的 MySQL Administrator,phpMyAdmin 還是有安全性的顧慮! >:)

你可以在這裡下載 MySQL 原廠提供的 MySQL Administrator 管理工具:

http://dev.mysql.com/downloads/gui-tools/

除了支援 Mac OS X、Windows,在 Linux 系統就只支援 3 種 Linux 系統,而且只有 32-bit 版本的 x86,並沒有 x64 版本:

RedHat Enterprise Linux 3
RedHat Enterprise Linux 4
Fedora Core 5
SuSE Linux 10.x

其他 Linux 只好用 Generic x86 Linux TAR 自己想辦法搞定! >:)

關於如何安裝與使用 SuSE Linux 版本的 MySQL Administrator,請參考這篇:

下載SUSE Linux Enterprise Server 10
神の一手はオレが極めるんだ
『進藤 ヒカル』(しんどう ひかる)は1998年~2003年に、「週刊少年ジャンプ」で連載された『ヒカルの碁』(ひかるのご)に登場する小学校6年生の少年で、主人公である。祖父の家の蔵で古い碁盤を見つけ、その時に『藤原 佐為』(ふじわらの さい)に取り憑かれてしまう。

yehrussell さん

虛擬画像
作成: 10/29/07 07:32pm
呵呵 不是要我們掛掉嗎 :-P
虛擬画像
作成: 10/29/07 07:51pm
哈哈~神算愛說笑,哪有可能會希望姊妹站掛掉,是希望能協助姊妹站跑得更快、更安全喔~ :lol:
駭客再有本事也不可能拿著 IE 等瀏覽器,直接入侵到只能在 Windows 視窗桌面上才能執行的 MySQL Administrator 吧? >:)
要是真的能用瀏覽器直接執行別人電腦裡的 MySQL 管理工具,換句話說應該是連小畫家等任何 Windows 工具都能執行了!有這種可能嗎?絕對不可能!Windows 安全性再差也不會差到瀏覽器就能入侵!當然得透過其他駭客工具... :-P

我簡單的解說一下,駭客們如何從 Google 入侵 MySQL,直接在 Google 搜尋 phpmyadmin 字樣,就會看到這樣的查詢結果,畫面就不抓了,大家都可以試試看喔~ >:)

約有1,930,000項符合phpmyadmin的查詢結果

請不要看找到的網頁內容,而是看找到的網址!我在第一頁找到的網址隨便開啟一個網站,例如:

http://web13.asi.polimi.it/phpMyAdmin/

你就會看到一個 “歡迎使用 phpMyAdmin 2.10.1” 登入畫面,明明是 .it 的網站,卻有 “繁體中文” 的登入畫面喔!哇哈哈~~ >:)
同樣的,已知 /phpmyadmin/ 網址、root 最高管理帳號名稱,現在同樣也只剩下密碼而已!嘿嘿~ >:)

目前最新的版本是 phpMyAdmin 2.11.2,但其實 MySQL 並沒有什麼大改版,顯然都是解決安全性更新的問題!舉個最新的版本來說:

phpMyAdmin security announcement : http://www.phpmyadmin.net/home_page/sec ... ASA-2007-6

Severity:
We consider these vulnerabilities to be serious.


駭客會利用 Google 來攻擊全球的網站嗎?絕對會喔!以前我已經貼過這類的話題了。 >:)
神の一手はオレが極めるんだ
『進藤 ヒカル』(しんどう ひかる)は1998年~2003年に、「週刊少年ジャンプ」で連載された『ヒカルの碁』(ひかるのご)に登場する小学校6年生の少年で、主人公である。祖父の家の蔵で古い碁盤を見つけ、その時に『藤原 佐為』(ふじわらの さい)に取り憑かれてしまう。

yehrussell さん

虛擬画像
作成: 10/29/07 07:56pm
我可以先灌MySQL Administrator
再移除 phpMyAdmin 嗎? :-P
呵呵 都是豆芽菜
不知下載哪個? =))
虛擬画像
作成: 10/29/07 08:20pm
答案是 phpMyAdmin 可直接從 C: 磁碟機裡面刪除,放心的扔到 “資源回收筒” 吧! >:)
就算把 phpMyAdmin 扔掉,也不裝 MySQL Administrator,網站照樣能正常運作,這兩個都不是 MySQL 伺服器的運作程式,只是 Client 端的管理界面而已。

詳細說明請參考這篇: 用MySQL Administrator管理你的MySQL資料庫 for Windows版

要提醒你的是:視窗界面的 MySQL Administrator 與 PHP 網頁管理界面的 phpMyAdmin 都只是另外加裝的資料庫的管理工具,即便不安裝或是安裝後移除管理工具,都不會影響 MySQL 伺服器的正常運作!因為 MySQL Administrator 與 phpMyAdmin 都是 Client 端可有可無的工具,而不是 MySQL 伺服器必要的運作程式之一!


如果可以登入 phpMyAdmin,就會看到這樣的畫面:

画像

由於過去的 “聞字網” 是租用付費的網站空間,因此也只能用 phpMyAdmin 把網站的資料備份下來,但由於 phpMyAdmin 與 MySQL 原廠的 MySQL Administrator 不相容,備份的資料沒辦法在 phpMyAdmin 還原! :shock:
沒辦法,畢竟 phpMyAdmin 並不是 MySQL 原廠的工具,而是別人寫的管理工具。我們也只好先在自己網站架設一個 phpMyAdmin,把網站資料從付費網站備份下來以後,用 restore 還原回到自己網站,再把 phpMyAdmin 扔掉不要! >:) >:)

詳細說明請參考這篇: 將BIG-5網站轉成UTF-8多國語系-實作篇

BNW 網站上有 phpMyAdmin 嗎?請試著在網址後面加上 /phpMyAdmin/ 試試看囉,保證你會看到一片空白的畫面!哇哈哈~~
神の一手はオレが極めるんだ
『進藤 ヒカル』(しんどう ひかる)は1998年~2003年に、「週刊少年ジャンプ」で連載された『ヒカルの碁』(ひかるのご)に登場する小学校6年生の少年で、主人公である。祖父の家の蔵で古い碁盤を見つけ、その時に『藤原 佐為』(ふじわらの さい)に取り憑かれてしまう。

魏藥 さん

虛擬画像
作成: 10/29/07 10:20pm
但是使用 MySQL Admin 遠端管理伺服器資料庫,還得多開 3306 port~>"<~...
對於我這個防火牆笨蛋,是個大麻煩~T_T...

Reala>主人是笨蛋啊,那我是...~^^!~...
Aura(Freya 上的虛擬機器)>(拉拉衣角)媽咪,(指著藥藥)那個怪叔叔在欺負我啦~>"<...
Freya>...主人,那是我女兒耶~@_@"
虛擬画像
作成: 10/29/07 10:31pm
如果說非要遠端管理 MySQL 資料庫,比方說從台灣管控架設在大陸的 MySQL 伺服器,可以在遠端的防火牆上限定只准台灣這裡的某個 IP 網段可以存取遠端的 3306 TCP port。

比方說在遠端的防火牆設定開放給 220.130.181.97 / 255.255.255.0,這樣子整個 220.130.181.x 都可以管理那台 MySQL 伺服器,如果台灣這裡是使用固定 IP,更可以限定只准 220.130.181.97 才能存取。
因為 IP 可能被駭客假造,要更加安全的話就先在台灣與大陸兩端架設 VPN 通道,先連接 VPN 以後,再從 VPN 通道中開啟 3306 TCP port。

但是以上的技術只能用在 ZyWALL 5 以上的防火牆,普通的 IP 分享器那就想都別想了! >:)
如果你有老舊的閒置電腦,也可以用免費防火牆系統來架設便宜防火牆,但是再怎樣老舊的主機,還是比低階防火牆耗電~24hr 開在那裡,就... >:)
不如去網路拍賣找個便宜的中古品吧~ :-P
再不然就是等著駭客入侵以後,再說囉~ >:)
神の一手はオレが極めるんだ
『進藤 ヒカル』(しんどう ひかる)は1998年~2003年に、「週刊少年ジャンプ」で連載された『ヒカルの碁』(ひかるのご)に登場する小学校6年生の少年で、主人公である。祖父の家の蔵で古い碁盤を見つけ、その時に『藤原 佐為』(ふじわらの さい)に取り憑かれてしまう。

魏藥 さん

虛擬画像
作成: 10/29/07 10:55pm

進藤ヒカルさん 表示:

再不然就是等著駭客入侵以後,再說囉~ >:)
其實我的伺服器的防火牆連開都沒開,但是對外有一個 La Fonera Plus 基地台轉 Port 80 到伺服器。
我沒那麼有錢玩三層防火牆,阿光你把那個 Cisco PIX 515 給我吧~>"<~...
Aura(Freya 上的虛擬機器)>(拉拉衣角)媽咪,(指著藥藥)那個怪叔叔在欺負我啦~>"<...
Freya>...主人,那是我女兒耶~@_@"
虛擬画像
作成: 10/29/07 11:14pm
伺服器主機上的軟體防火牆只能說是 “安心用”... 沒什麼實質的防護能力... >:)
從防火牆轉換網路埠其實一點用也沒有,只能說是網路埠不夠用,想要用一個 IP 架設多個網站的小技巧而已。對外面的 user 與駭客來說,還是能通過轉換的網路埠到達目的。 :-P

現在 Mac OS X、Windows、Linux 內建的防火牆都是 Inbound 單向防火牆,防護能力有限,可達到 “有總比沒有好” 的目的,特別是你帶著 Notebook 使用別人家的免費網路,至少可以做到簡單的防護,但想要用來防駭客,那就想太多了~ >:)

咦~你還記得 Cisco PIX 515 啊~現在閒置中一直都沒有使用,但問題是這玩意是公司的,我也沒辦法自己拿回家用~ :-P
神の一手はオレが極めるんだ
『進藤 ヒカル』(しんどう ひかる)は1998年~2003年に、「週刊少年ジャンプ」で連載された『ヒカルの碁』(ひかるのご)に登場する小学校6年生の少年で、主人公である。祖父の家の蔵で古い碁盤を見つけ、その時に『藤原 佐為』(ふじわらの さい)に取り憑かれてしまう。

cjtai さん

虛擬画像
作成: 10/30/07 09:49am

進藤ヒカルさん 表示:

如果說非要遠端管理 MySQL 資料庫,比方說從台灣管控架設在大陸的 MySQL 伺服器,可以在遠端的防火牆上限定只准台灣這裡的某個 IP 網段可以存取遠端的 3306 TCP port。
...


在阿帕契裡加一段設定碼,一樣可以限定由特定 IP 連線到 phpMyAdmin:
代碼: 全部選択
Alias /phpMyAdmin /home/users/phpMyAdmin
<Directory /phpMyAdmin>
    Order deny,allow
    Deny from all
    Allow from 127.0.0.1
    Allow from 192.168.1.46
    Allow from 192.168.1.47
    Allow from ::1
</Directory>
----------------
to be or not to be.