phpMyAdmin

[AnonymusChaotic]

Ich richte gerade meinen zweiten v-Server ein, allerdings lässt sich aus welchem Grund auch immer der Root-login in phpMyAdmin nicht unterbinden.

Ich habe folgende Anleitung dazu verwendet:

https://pits-online.info/2013/04/13/phpmyadmin-absichern/

Die Schritte bezüglich Root-Login wurden durchgeführt, allerdings kann ich mich weiterhin munter mit root anmelden, auch nach restart des gesamten Servers.

Warum und wie kann man das beheben?

 

[CallItAlex]

Ich könnte mir das nur so erklären, dass du die Dateien/Zeilen falsch abgeschrieben bzw. geändert hast.

Überprüfe bitte nochmal, ob das der Fall ist.

Over & Out

 

[CoLu]

Hast du den Shell-Login vom Root gesperrt?
Vielleicht hängt das damit zusammen

Gruß
Co

 

[Chrisliebär❤️]

Hast du den Shell-Login vom Root gesperrt?
Vielleicht hängt das damit zusammen

Gruß
Co

Nein, tuts nicht.

Du wirst dich vertippt haben oder PMA hat noch irgendwelche gecachten Werte, Webserver neustarten und Cookies löschen erledigt das aber.

Root Login sperren ist übrigens nicht wirklich ein Sicherheitsfeature. Korrekterweise schützt man eine PMA Installation mit einem Verzeichnispasswort (Stickwort: httpauth). Sich darauf zu verlassen, dass die Software keine Bugs hat ist nämlich arg leichtsinnig. Und dann macht es auch keinen Sinn mehr den Rootlogin abzuschalten.

 

[AnonymusChaotic]

Danke für den Tipp Werde mich darum kümmern

 

[AnonymusChaotic]

@SpiritWalker
wg. Verzeichnisschutz:
Ich habe jetzt versucht, den entsprechenden Verzeichnisschutz anzulegen (als root) mit folgenden Befehlen:

cd /usr/share/phpmyadmin
nano .htaccess

Dort dann die folgenden Zeilein eingefügt:

AuthType Basic
AuthUserFile /root/.passwd
AuthName "websvn"
order deny,allow
allow from all
require valid-user

cd /root
htpasswd -cs .passwd einusername

Passwörter eingegeben.

In der /etc/apache2/conf.d/phpmyadmin.conf AllowOverride All
ergänzt:

# phpMyAdmin default Apache configuration
Alias /database /usr/share/phpmyadmin
<Directory /usr/share/phpmyadmin>
Options Indexes FollowSymLinks
AllowOverride All
[…]

//EDIT: bei mir habe ich nachträglich den Eintrag auf AllowOverride AuthConfig geändert, das ist laut http://de.selfhtml.org/servercgi/server/htaccess.htm anscheinend besser.
Apache mit /etc/init.d/apache2 restart restartet.

Seite http://meineIP/entsprechenderAlias/ aufgerufen, Username und Passwort eingegeben, abgesendet.

Internal Server Error
The server encountered an internal error or misconfiguration and was unable to complete your request.

Please contact the server administrator, webmaster@localhost and inform them of the time the error occurred, and anything you might have done that may have caused the error.

More information about this error may be available in the server error log.

Apache/2.2.22 (Debian) Server at DASISTMEINEIP Port 80

Eintrag im Apache Log:
[Sun Mar 08 20:40:57 2015] [error] [client meineip] (13)Permission denied: Could not open password file: /root/.passwd


Warum? Der Apache-Prozess läuft ja soviel ich weiß als Root, müsste folglich auch zugreifen können.
Bzw. wem müsste ich die Datei zuschreiben/welche Dateiberechtigungen muss ich setzen?

 

[Chrisliebär❤️]

OMG heilige Scheiße. Hör auf irgendwelche normalen Dateien in /root zu speichern. Die Datei kannste irgendwo speichern und der Webserver sollte als httpd user Laufen oder sowas, das hängt von deiner Distribution ab.

 

[AnonymusChaotic]

Habe das Ganze jetzt über den Haufen geworfen und folgendes gemacht:

nano /etc/apache2/conf.d/phpmyadmin.conf

# phpMyAdmin default Apache configuration

Alias /meingeheimerAlias /usr/share/phpmyadmin

<Directory /usr/share/phpmyadmin>
        Options FollowSymLinks
        AllowOverride AuthConfig
======================================
======================================
        AuthType Basic
        AuthName "Restricted area!"
        AuthUserFile /usr/share/phpmyadmin/.htpasswd
        Require valid-user
======================================
======================================

        DirectoryIndex index.php

        <IfModule mod_php5.c>
                AddType application/x-httpd-php .php

                php_flag magic_quotes_gpc Off
                php_flag track_vars On
                php_flag register_globals Off
                php_admin_flag allow_url_fopen Off
                php_value include_path .
                php_admin_value upload_tmp_dir /var/lib/phpmyadmin/tmp
                php_admin_value open_basedir /usr/share/phpmyadmin/:/etc/phpmyadmin/:/var/lib/phpmyadmin/
        </IfModule>

</Directory>

# Authorize for setup
<Directory /usr/share/phpmyadmin/setup>
    <IfModule mod_authn_file.c>
    AuthType Basic
    AuthName "phpMyAdmin Setup"
    AuthUserFile /etc/phpmyadmin/htpasswd.setup
    </IfModule>
    Require valid-user
</Directory>

# Disallow web access to directories that don't need it
<Directory /usr/share/phpmyadmin/libraries>
    Order Deny,Allow
    Deny from All
</Directory>
<Directory /usr/share/phpmyadmin/setup/lib>
    Order Deny,Allow
    Deny from All
</Directory>

Das zwischen den == ist wg. dem Passwortschutz ergänzt worden, die == gehören natürlich nicht dazu

cd /usr/share/phpmyadmin
htpasswd -cs .htpasswd theUser
-->New password:
-->Re-type new password:
/etc/init.d/apache2 restart

Sich freuen, dass man für so was einfaches nen ganzen tag ver******** hat

Danke an alle, die mitgeholfen haben

 

[Chrisliebär❤️]

Das schaut schon viel besser aus. Man kann den Passwortschutz übrigens auch in .htaccess Dateien machen, das Problem welches man dabei allerdings haben kann ist, dass die Passwortdatei, die man idealerweise daneben legt vom Server aufgrund eines Fehler rausgeschickt wird, oder aber, dass die Software die auf dem Webspace läuft die Datei editieren kann und jemand durch eine Sicherheitslücke deine Passwortdatei überschreibt.

 

[AnonymusChaotic]

Deshalb ja der Ansatz, das unter /root abzuspeichern

Naja, Zuerst einmal das Verzeichnis finden, dann den Passwortschutz knacken, dann den Zutritt zu PHPmyAdmin knacken und dann kann man von Phpmyadmin aus weitere Versuche unternehmen, in das System einzudringen.Viel Erfolg (bei wem anderen)

 

[Chrisliebär❤️]

/root ist kein geheimer Ort. Das ist ein Verzeichnis wie jedes andere auch, nur halt, dass du als default nicht als root darin lesen und schreiben kannst. Der Webserver läuft allerdings überhaupt nicht als root (und wenn du mal Server findest, die als root laufen dann sind das minimalistische Helferprozesse wie z.B. sshd sie nutzt um eine Usershell zu öffnen.)

Dem Webserver gibt man daher Zugriff auf genau die Dateien, die er wirklich braucht und man geht davon aus, dass all diese Dateien von einem Angreifer gelesen werden können, wenn er Zugriff über den Webserverprozess hat. Das ist die grundsätzliche Vorgehensweise.

 

[AnonymusChaotic]

Unter Debian mit apache2 muss ich folglich alle Dateien als www-data speichern, stimmt das so?

 

[Chrisliebär❤️]

Ich hab grad keinen Debianserver zur Hand, aber aus dem Gedächtnis herraus war das so, ja. Bedenke dabei aber auch, dass der Apache sich wie ein User verhält, der kann genau dasselbe machen wie ein User. Wenn du also mehrere Webanwendungen nutzt, dann laufen die (sofern das PHP Modul installier ist) alle gemeinsam als mit dem selben Nutzer. Das kann vor allem dann zu Problemen führen, wenn man eigentlich getrennte Berechtigungen haben wie (wie das beispielsweise Webhoster machen). Das ist allerdings noch ein wenig aufwänder und erst dann relevant wenn man das wirklich braucht.

Daher konnte der Webserver übrigens auch deine Datei in /root nicht lesen.

 

[AnonymusChaotic]

Eine Frage noch:
Apache als Chroot laufen lassen oder nicht?

 

[Chrisliebär❤️]

Das wird auf jeden Fall komplizierter. Hab ich persönlich nie gemacht. Du solltest dir als erstes darüber im klaren werden, was du damit erreichen willst und ob du es nicht bereits durch sinnvolle Rechtevergabe erreichen kannst.