PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : phpMyAdmin Sicherheit



Lockslay
17.12.02, 20:46
Hallo

Ich habe einen Lamp Server unter Debian installiert.
Jetzt kommt bei phpMyAdmin die Meldung:


Das $cfg['PmaAbsoluteUri']-Verzeichnis MUSS in Ihrer Konfigurationsdatei angegeben werden!

Ihre Konfigurationsdatei enthält Einstellungen (Benutzer "root" ohne Passwort), welche
denen des MySQL-Stardardbenutzers entsprechen. Wird Ihr MySQL-Server mit diesen

Einstellungen betrieben, so können Unbefugte leicht von außen auf ihn zugreifen. Sie sollten
diese Sicherheitslücke unbedingt schließen!
Aber ich weiss weder was $cfg['PmaAbsoluteUri']- Bedeuten noch was ich genau machen muss.

Kennt jemmand die Lösung.

Gruss,

Lockslay

steve-bracket
17.12.02, 21:26
nabend nabend



Das $cfg['PmaAbsoluteUri']-Verzeichnis MUSS in Ihrer Konfigurationsdatei angegeben werden!

Ihre Konfigurationsdatei enthält Einstellungen (Benutzer "root" ohne Passwort), welche
denen des MySQL-Stardardbenutzers entsprechen. Wird Ihr MySQL-Server mit diesen

Einstellungen betrieben, so können Unbefugte leicht von außen auf ihn zugreifen. Sie sollten
diese Sicherheitslücke unbedingt schließen!



Anscheinend hast du PHPmyAdmin nicht korrekt konfiguriert.

In der "config.inc.php" ist die absolute URL der MyAdmin Dateien anzugeben.
zB: http://www.deinedomain.de/ordnerderdateien

Ausserdem solltest du ein RootPassWD für die Datenbank vergeben. Sonst kann jeder die DB's bearbeiten.
Und folgende Zeilen mal beäugeln. :-)

$cfg['Servers'][$i]['auth_type'] = 'config, http, oder cookie, je nach belieben'; // Authentication method (config, http or cookie based)?
$cfg['Servers'][$i]['user'] = 'root'; // MySQL user

Dann gehts bestimmt.


fG Steve

Lockslay
18.12.02, 19:56
Hallo

So den absoluten Link habe ich jetzt eingestellt.
Aber leider komme ich mit dem Rest nicht klar.


$cfg['Servers'][$i]['auth_type'] = 'config, http, oder cookie, je nach belieben'; // Authentication method (config, http or cookie based)?
$cfg['Servers'][$i]['user'] = 'root'; // MySQL user


Kannst Du mir das bitte etwas genauer Erklären ?
Gruss,

Lockslay

steve-bracket
19.12.02, 07:21
moin moin



$cfg['Servers'][$i]['auth_type'] = 'config, http, oder cookie, je nach belieben'; // Authentication method (config, http or cookie based)?
$cfg['Servers'][$i]['user'] = 'root'; // MySQL user


Bei "auth_type" sagt glaub ich der Name schon das es sich um die Authenifizierung handelt.
(nimm mal http)

Bei "user" würde ich root nehmen. (vorher PW für Datenbank vergeben falls noch nicht vorhanden).

Probier's einfach mal aus und entscheide dann welche Auth. dir am besten gefällt.

fG Steve:)

Lockslay
19.12.02, 19:29
Hallo

ich habe die Datei bearbeitet.
Aber trotz der änderung hat sich nichts geändert.



$cfgServers[1]['auth_type'] = 'http'; // Authentication method (config, http
or cookie based)?
$cfgServers[1]['user'] = 'root'; // MySQL user
$cfgServers[1]['password'] = 'mein passwort'; // MySQL password (only needed w
ith 'config' auth)
$cfgServers[1]['only_db'] = ''; // If set to a db-name, only this db
is displayed at left frame
// It may also be an array of db-nam
es


Wie kann ich den php neu Starten?

Gruss,

Lockslay

steve-bracket
20.12.02, 07:25
$cfgServers[1]['auth_type'] = 'http'; // Authentication method (config, http
or cookie based)?
$cfgServers[1]['user'] = 'root'; // MySQL user
$cfgServers[1]['password'] = 'mein passwort'; // MySQL password (only needed w
ith 'config' auth)
$cfgServers[1]['only_db'] = ''; // If set to a db-name, only this db
is displayed at left frame
// It may also be an array of db-nam
es


Hallo

Wenn du Auth. "http" verwendest benötigst du keinen Passworteintrag. Das wird ja dann beim anwählen der "Domain/pfadwophpmyadminliegt" abgefragt.
// MySQL password (only needed w
ith 'config' auth) Nur benötigt mit Auth- Methode config

Bei PHPmyadmin gibt es keinen Neustart. Das sind PHP Scripte die zur Laufzeit ausgeführt werden.

fG Steve

;)

AndreKramer
22.09.03, 22:16
Hi,

Ich probier grad ein LAMP-Server mit SuSE8.2 aufzusetzen.
Hab auch soweit alles klar.

phpMyAdmin:
----------------

Nur versteh ich nicht, das die Datei "config.inc.php" die Rechte 644 besitzt.

Wenn man da ein Passwort einträgt, kann ja zumindest lokal das jeder mitlesen.
Sollte doch so nicht sein oder hat dieses Passwort nichts mit dem root-Passwort der DB zu tun?

Ich habe erstmal

cfgServers[1]['auth_type'] = 'http';

gewählt

Gruss,

Andre