phpMyAdmin via Internet erreichbar!

[stebler]

Liebe Kolleginnen und Kollegen
ich habe auf meiner Syno mit DSM 5 das Paket phpMyAdmin installiert. Es funktioniert tadellos. Leider hat die Syno das Paket unter /volume1/web/php... installiert. Da der Webserver läuft, ist somit phpMyAdmin vom Internet aus erreichbar. Kann ich das irgendwie ändern (ausser das Paket zu deaktivieren)?

Gruss aus Basel

Thomas

 

[Thorndike]

Da phpMyadmin im Webserver läuft ist die Installation vorgegeben. Zur Absicherung informiere dich einmal über .htaccess und die eventuellen Hürden die es auf der Syno gibt. Hierzu sind einige Threads im Forum zu finden.
Damit kannst du den Zugang z.B. auf lokale Rechner beschränken.

 

[stebler]

Vielen Dank für den Hinweis. Das habe ich mir fast schon gedacht. Ich habe auf meiner Homepage einige Unterverzeichnis mit .htaccess geschützt, aber das ist mir für phpMyAdmin doch etwas zu unsicher. Als SQL-Datenbank läuft bei mir das grosse Pollen-Wiki und ich möchte nicht, das dort dann jemand rumpfuscht.
Kann ich darum nicht einfach das Paket phpMyAdmin deaktivieren und bei Gebrauch wieder aktivieren? Beim Deaktivieren werden die Programmfiles ja nicht gelöscht: kann man darum bei deaktiviertem Zustand trotzdem darauf zugreifen?

Danke im Voraus

Thomas

 

[Thorndike]

Tut mir leid aber ich weiß nicht was das DSM bein deaktivieren des Paketes macht. Solange der Code noch im Webverzeichnis bleibt müsste irgend ein Filter aktiviert werden oder eine Alias auf des Verzeichnis ins Leere führen. Die dümmste Variante wäre natürlich einfach nur den Link aus dem DSM zu entfernen. Was wirklich passiert wirst du wohl ausprobieren müssen.
.htaccess ist eine verbreitete Methode zur Absicherung. Eventuell könntest du auch einen Virtual Host einrichten, aber auch das ist ja nur eine Kofiguration für den Apache die Seiten zu filtern. Wenn bei der Deaktivierung keine Wunderdinge passieren ist wirklich sicherer nur ein zweiter Apache mit einem anderen Docroot auf einem anderen Port. Das wäre aber deutlich aufwendiger.

 

[Frogman]

Beim deaktivieren eines Pakets liegt im Verzeichnis ein entsprechendes File, was den Zustand anzeigt. Über den User-Apache (über den das läuft) kannst Du das dann nicht mehr aufrufen. Den Link aus dem DSM zu entfernen wäre unnütz - das ist ja eben nur ein Link, ändert aber nichts an der Möglichkeit, einen Service aufzurufen.

 

[crick]

Liege ich da total falsch? Ich meine mich zu erinnern, dass zumindest früher phpMyAdmin nicht von außen erreichbar war und daher von Werk aus auch kein Passwort dafür gesetzt wurde?!

 

[Frogman]

Beim Login in die MySQL-DB musstest Du standardmäßig nur 'root' verwenden, und das ging auch nur aus dem lokalen Netz - man wurde dann freundlich in rot darauf hingewiesen, dass man gefälligst ein Passwort setzen solle. Keine Ahnung, ob das jetzt mit dem Wechsel auf MariaDB verändert wurde, ich habe schon immer ein Passwort eingerichtet.

 

[Thorndike]

Liege ich da total falsch? Ich meine mich zu erinnern, dass zumindest früher phpMyAdmin nicht von außen erreichbar war und daher von Werk aus auch kein Passwort dafür gesetzt wurde?!

Das kann schon sein das bei phpMyAdmin eine .htaccess mitgeliefert wurde oder in der originalen Distribution auch wird. Das wird bei vielen anderen PHP Paketen auch so gemacht um Teile der Anwendung auf das lokale Netz zu beschränken.

 

[stebler]

Vor dem DSM 5 (oder evt. noch früher, weiss es micht mehr so genau) wurde meiner Meinung nach phpAdmin nicht im Webserver-Verzeichnis installiert. Es war irgendwo im .../syno/synoman/....

Gruss
Thomas

 

[joku]

Hallo, hast Du es denn mal mit einer .htaccess versucht ?

Order deny,allow
Deny from all
Allow from 192.168.220.102

die 192.168.220.102 musst Du natürlich auf Dein Netz anpassen !

Gruß Jo

 

[stebler]

Hallo Jo
gute Idee. Werde ich wahrscheinlich umsetzen.

Gruss Thomas

 

[stebler]

Hallo Jo
habe heute folgendes ausprobiert:

Datei ".htaccess" mit

Order deny, allow
Deny from all
Allow from 127.0.0.1 [oder mit localhost oder 192.168.1.25 ausprobiert]

Diese Datei habe ich im phpMyAdmin-Ordner gespeichert. Jetzt meldet die Syno beim Aufruf von phpMyAdmin im lokalen Netz, dass die Seite nicht gefunden werden kann. Dies löst ja mein Problem mit dem Verhindern des externen Zugriffs, aber es wäre doch nett, wenn es innerhalb meines Netzwerks funktionieren würde. Hast Du eine Idee, warum das nicht klappt?

Gruss Thomas

 

[joku]

aber es wäre doch nett, wenn es innerhalb meines Netzwerks funktionieren würde. Hast Du eine Idee, warum das nicht klappt?

Hallo Thomas,

wenn die IP, der PC ist von wo aus der Zugriff erfolgen soll
.htaccess

Order deny, allow
Deny from all
Allow from 192.168.1.25

sollte der Aufruf http: //192.168.1.25/phpMyAdmin funktionieren

benutzt Du Namen in Deinem Netz, zB.: bei einer FritzBox,
diskstation.fritz.box
dann noch
Allow from .fritz.box

Eine Zeile
ErrorDocument 403 Hier ein beliebiger Text

verschönert die ganze Geschichte

Gruß Jo

 

[stebler]

Hallo Jo

ich habe folgendes im .htaccess drin:

Order deny, allow
Deny from all
Allow from 192.168.1.25
Allow from 172.0.0.1
Allow from synology

Aufruf durch http://192.168.1.25/phpMyAdmin
Hat leider wieder die gleiche Fehlermeldung gebracht

Gruss Thomas

 

[Frogman]

Und am Ende noch ein

Satisfy any

oder nicht?

 

[DJ Mike]

Hallo Jo

ich habe folgendes im .htaccess drin:

Order deny, allow
Deny from all
Allow from 192.168.1.25
Allow from 172.0.0.1
Allow from synology

Aufruf durch http://192.168.1.25/phpMyAdmin
Hat leider wieder die gleiche Fehlermeldung gebracht

Gruss Thomas

Bei Allow from musst du die IP von PC angeben oder kannst mit 192.168 für alle internen IP's zulassen.

http://192.168.1.25 ist die IP deiner Synology
Allow from 172.0.0.1 sollte eher 127.0.0.1 heissen, das kannst auslassen


Beispiel mit IP PC 192.168.1.30
http://192.168.1.34/phpMyAdmin IP Synology


Order deny,allow
Deny from all
Allow from 192.168
Allow from 192.168.1.30

# HTML für individuelle Fehleranzeige
ErrorDocument 403 "<html><head><title>Seite nicht vorhanden</title>\
<style type='text/css'>\
body {background-color:#EEEEEE;}\
h1,p,a {font-family:Helvetica,Arial,Sans-serif;}\
h1 {font-size:1.7em; margin-bottom:0em;}\
p {font-size:0.95em;}\
a {font-size:0.93em; text-decoration:none;}\
a:link,a:visited {color:#000080;}\
a:hover {color:#FF0000;}\
</style>\
</head><body>\
<h1>Fehler 404</h1>\
<p>Die angeforderte URL kann nicht gefunden werden.</p>\
</body></html>"



Gruss Mike

 

[DKeppi]

Wollte den Zugang von außerhalb auch mal sperren - dieser Thread hat mich wieder daran erinnert DANKE!

Habe jetzt eine .htaccess im phpMyAdmin Verzeichnis angelegt und den Zugriff aus meinem internen Netz bzw. dem OpenVPN Netz erlaubt!

Sieht folgendermaßen aus:

Order Deny,Allow

Allow from 10.8.0.0/24
Allow from 192.168.178.0/24


Deny from all

Funktioniert 1A!

 

[stebler]

Mit folgender Version hat es jetzt auch bei mir geklappt:

Order Deny,Allow
Allow from 192.168.1.4/24
Deny from all
Satisfy any

Es hat allerdings erst funktioniert, als ich an die IP-Adresse /24 angehängt habe.
Mission erfüllt. Vielen Dank an Alle.

Gruss aus Basel
Thomas

 

[joku]

Es hat allerdings erst funktioniert, als ich an die IP-Adresse /24 angehängt habe.

Hallo Thomas,
Allow from 192.168.1.4/24
Richtig ist wenn es so sein soll
Allow from 192.168.1.0/24
oder wie Mike es schreibt
Allow from 192.168
das Satisfy any ist nur Notwendig
Zitat

Die Anweisung Satisfy gibt an, welche der Bedingungen erfüllt sein müssen. Das Schlüsselwort any bedeutet, dass alle Benutzer mit einer numerischen IP im Bereich 192.168 automatisch zugelassen sind. Benutzer, die nicht von dort kommen, werden nach einem Benutzernamen und Passwort gefragt ("Oder"-Verknüpfung der beiden Bedingungen). Hingegen würde das Schlüsselwort all bedeuten, dass nur Benutzer mit einer IP aus dem Bereich 192.168 und einem gültigen Benutzernamen zugelassen sind ("Und"-Verknüpfung der beiden Bedingungen).

Gruß Jo

 

[stebler]

Hallo Jo
die endgültige, funktionierende Version lautet jetzt:

Order Deny,Allow
Deny from all
Allow from 192.168
Satisfy any

So habe ich aus meinem ganzen privaten Netz Zugriff. Danke für den Link und
einen schönen Sonntag

Thomas