介绍
虽然许多用户需要像MariaDB这样的数据库管理系统的功能,但他们可能不会仅仅通过MariaDB提示与系统进行交互。
创建了phpMyAdmin ,以便用户可以通过Web界面与MariaDB进行交互。 在本指南中,我们将讨论如何安装和保护phpMyAdmin,以便您可以安全地使用它来管理Debian 9系统上的数据库。
先决条件
在开始使用本指南之前,您需要完成一些基本步骤。
首先,我们假设您的服务器具有sudo权限的非root用户,以及使用ufw配置的防火墙,如Debian 9的初始服务器设置指南中所述。
我们还假设您已经在Debian 9服务器上完成了LAMP(Linux,Apache,MariaDB和PHP)安装。 如果您还没有这样做,请按照我们在Debian 9上安装LAMP的指南进行设置。
最后,使用像phpMyAdmin这样的软件时有一些重要的安全注意事项,因为它:
- 直接与MariaDB安装进行通信
- 使用MariaDB凭据处理身份验证
- 执行并返回任意SQL查询的结果
由于这些原因,并且因为它是一个广泛部署的PHP应用程序,经常以攻击为目标,所以不应该通过普通的HTTP连接在远程系统上运行phpMyAdmin。 如果您没有配置SSL / TLS证书的现有域,则可以按照本指南使用Debian 9上的Let's Encrypt保护Apache 。 这将要求您注册域名 , ,以及设置Apache虚拟主机 。
完成这些步骤后,您就可以开始使用本指南了。
第1步 - 安装phpMyAdmin
首先,我们将从默认的Debian存储库安装phpMyAdmin。
这是通过更新服务器的软件包索引然后使用apt打包系统下拉文件并将其安装在您的系统上来完成的:
sudo apt update
sudo apt install phpmyadmin php-mbstring php-gettext
这将询问您一些问题,以便正确配置您的安装。
警告:出现提示时,“apache2”突出显示,但未选中。 如果没有按SPACE选择Apache,安装程序将不会在安装期间移动必要的文件。 点击SPACE , TAB ,然后按ENTER选择Apache。
- 对于服务器选择,请选择
apache2 - 当询问是否使用
dbconfig-common设置数据库时,请选择“Yes - 然后,系统会要求您选择并确认phpMyAdmin的MySQL应用程序密码
注意: MariaDB是一个社区开发的MySQL分支,尽管这两个程序密切相关,但它们并不完全可以互换。 虽然phpMyAdmin专门用于管理MySQL数据库并在各种对话框中引用MySQL,但请放心,您的MariaDB安装将与phpMyAdmin一起正常工作。
安装过程将phpMyAdmin Apache配置文件添加到/etc/apache2/conf-enabled/目录中,并自动读取该目录。 您唯一需要做的是显式启用mbstring PHP扩展,该扩展用于管理非ASCII字符串并将字符串转换为不同的编码。 键入以下命令:
sudo phpenmod mbstring
然后,重新启动Apache以便识别您的更改:
sudo systemctl restart apache2
phpMyAdmin现已安装并配置完毕。 但是,在您登录并开始管理MariaDB数据库之前,您需要确保MariaDB用户具有与程序交互所需的权限。
第2步 - 调整用户身份验证和权限
当您将phpMyAdmin安装到服务器上时,它会自动创建一个名为phpmyadmin的数据库用户,该用户执行该程序的某些基础进程。 不是使用您在安装期间设置的管理密码以此用户身份登录,而是建议您使用其他帐户登录。
在Debian系统上的新安装中, 根 MariaDB用户设置为默认使用unix_socket插件而不是密码进行身份验证。 在许多情况下,这允许更高的安全性和可用性,但是当您需要通过此用户允许外部程序(例如,phpMyAdmin)管理权限时,它也会使事情变得复杂。 由于服务器使用root帐户执行日志轮换以及启动和停止服务器等任务,因此最好不要更改root帐户的身份验证详细信息。 由于phpMyAdmin要求用户使用密码进行身份验证,因此您需要创建一个新的MariaDB帐户才能访问该界面。
如果您按照安装LAMP的先决条件教程并按第2步中所述创建了MariaDB用户帐户,则可以使用您在设置时创建的密码登录该帐户下的phpMyAdmin,方法是访问以下链接:
https://your_domain_or_IP/phpmyadmin
如果您还没有创建MariaDB用户,或者如果您有,但您想创建另一个用户只是为了通过phpMyAdmin管理数据库,请继续本节以了解如何设置它。
首先打开MariaDB shell:
sudo mariadb
注意:如果启用了密码身份验证,就像已经为MariaDB服务器创建了新的用户帐户一样,则需要使用其他命令来访问MariaDB shell。 以下内容将以常规用户权限运行您的MariaDB客户端,并且您只能通过身份验证获得数据库中的管理员权限:
mariadb -u user -p
从那里,创建一个新用户并给它一个强大的密码:
CREATE USER 'sammy'@'localhost' IDENTIFIED BY 'password';
然后,为您的新用户授予适当的权限。 例如,您可以使用以下命令向用户授予数据库中所有表的权限,以及添加,更改和删除用户权限的权限:
GRANT ALL PRIVILEGES ON *.* TO 'sammy'@'localhost' WITH GRANT OPTION;
然后,退出MariaDB shell:
exit
您现在可以通过访问服务器的域名或公共IP地址访问Web界面,然后访问/phpmyadmin :
https://your_domain_or_IP/phpmyadmin
使用您配置的用户名和密码登录界面。
登录时,您将看到用户界面,如下所示:
既然您已经能够与phpMyAdmin进行连接和交互,那么剩下要做的就是强化系统的安全性以保护其免受攻击者的攻击。
第3步 - 保护您的phpMyAdmin实例
由于它无处不在,phpMyAdmin是攻击者的热门目标,你应该格外小心,以防止未经授权的访问。 最简单的方法之一是使用Apache内置的.htaccess身份验证和授权功能将网关放在整个应用程序的前面。
要执行此操作,必须首先通过编辑Apache配置文件来启用.htaccess文件覆盖。
编辑已放置在Apache配置目录中的链接文件:
sudo nano /etc/apache2/conf-available/phpmyadmin.conf
在配置文件的<Directory /usr/share/phpmyadmin>部分中添加AllowOverride All指令,如下所示:
<Directory /usr/share/phpmyadmin>
Options FollowSymLinks
DirectoryIndex index.php
AllowOverride All
. . .
添加此行后,保存并关闭该文件。
要实现您所做的更改,请重新启动Apache:
sudo systemctl restart apache2
既然已经为您的应用程序启用了.htaccess ,那么您需要创建一个以实际实现某些安全性。
为了使其成功,必须在应用程序目录中创建该文件。 您可以通过键入以下内容创建必要的文件并使用root权限在文本编辑器中打开它:
sudo nano /usr/share/phpmyadmin/.htaccess
在此文件中,输入以下信息:
AuthType Basic
AuthName "Restricted Files"
AuthUserFile /etc/phpmyadmin/.htpasswd
Require valid-user
以下是每条线的含义:
-
AuthType Basic:此行指定要实现的身份验证类型。 此类型将使用密码文件实现密码身份验证。 -
AuthName:设置验证对话框的消息。 您应该保持这种通用性,以便未经授权的用户不会获得有关受保护内容的任何信息。 -
AuthUserFile:设置将用于身份验证的密码文件的位置。 这应该在正在提供的目录之外。 我们很快就会创建这个文件。 -
Require valid-user:这指定只有经过身份验证的用户才能访问此资源。 这实际上阻止了未经授权的用户进入。
完成后,保存并关闭文件。
您为密码文件选择的位置是/etc/phpmyadmin/.htpasswd 。 您现在可以创建此文件并使用htpasswd实用程序将初始用户传递给它:
sudo htpasswd -c /etc/phpmyadmin/.htpasswd username
系统将提示您为正在创建的用户选择并确认密码。 然后,使用您输入的散列密码创建文件。
如果要输入其他用户,则需要在没有 -c标志的情况下执行此操作,如下所示:
sudo htpasswd /etc/phpmyadmin/.htpasswd additionaluser
现在,当您访问phpMyAdmin子目录时,系统将提示您输入刚刚配置的其他帐户名和密码:
https://domain_name_or_IP/phpmyadmin
进入Apache身份验证后,您将进入常规phpMyAdmin身份验证页面以输入您的MariaDB凭据。 此设置添加了额外的安全层,这是可取的,因为phpMyAdmin过去曾遭受过漏洞攻击。
结论
您现在应该已经配置了phpMyAdmin并准备好在Debian 9服务器上使用。 使用此界面,您可以轻松创建数据库,用户,表等,并执行常规操作,如删除和修改结构和数据。
