phpMyAdmin-Zugriff von extern einschränken

[maalik]

Hallo zusammen,

nachdem ich in letzter Zeit immer mehr versuche, Zugriff von außen zu erschweren, möchte ich nun den Zugriff auf phpMyAdmin einschränken.

Ich habe es damals über den Paket-Manager installiert, dadurch landet es ja im /web-Verzeichnis. Ich hatte mir nun überlegt dort einfach eine .htaccess-Datei abzulegen mit dem Inhalt

Order Deny,Allow
Deny from All
Allow from 192.168.1.11

Jedoch reagiert phpMyAdmin/Apache darauf gar nicht. Der Zugriff ist weiterhin möglich.

Was mache ich falsch, bzw. was ist Eure Empfehlung, den Zugriff nach außen am besten zu blockieren?

LG
Felix

 

[Fusion]

Forumsuche benutzen...

Vorinstalliertes/Installierbares Paket läuft unter nginx (egal welches Backend du in der Web Station einstellst)

Deine Optionen sind u.a. hier beschrieben
https://www.synology-forum.de/threa...rn-dem-internet-sperren-wie.79848/post-660827

 

[maalik]

Danke dir!

 

[maalik]

Und der Vollständigkeit halber, wenn hier auch nochmal jemand landet:
Ich hab folgenden Code in der

/var/packages/phpMyAdmin/target/nginx_conf/www.phpMyAdmin.enable.conf

eingefügt:

location ~ ^/phpMyAdmin/(.*)/\. {
    deny all;
}
location ~* ^/phpMyAdmin/(.*)\.(jpg|jpeg|png|gif|css|js|ico)$ {
    allow 192.168.1.0/24;
    deny all;
    root /var/services/web/;
    expires max;
    log_not_found off;
}
location ~ ^/phpMyAdmin/(.*)\.php$ {
    allow 192.168.1.0/24;
    deny all;
    root /var/services/web/;
    include fastcgi.conf;
    fastcgi_pass unix:/run/php-fpm/php56-fpm.sock;
}
location ~ ^/phpMyAdmin {
    allow 192.168.1.0/24;
    deny all;
    root /var/services/web/;
    try_files $uri $uri/ /phpMyAdmin/index.php$is_args$args;
}

 

[Fusion]

Schön kopiert. Danke.

Ich würde allerdings den Zugriff wirklich konkret auf eine IP oder kleines Subnet einschränken und nicht nur das ganze LAN, wenn man sich schon die Mühe macht.

 

[maalik]

Beitrag kam von goetz, der Vollständigkeit halber.

Ich hatte auch vor, es auf eine einzelne IP zu beschränken, aber mit

    allow 192.168.1.10;
    deny all;

wollte er nicht (192.168.1.10 ist die IP meines PC, der alleinig zugreift).

Was habe ich falsch gemacht?

 

[Fusion]

Vermutlich nur die falsche Notation. Wobei er eigentlich die IP auch ohne CIDR oder Subnet-Angabe nehmen sollte.
Was heißt "wollte er nicht"? Hat nginx -tein Fehler geworfen?
nginx -s reload Konfiguration neu geladen?

192.168.1.10/32 ist ein einzelner Host, sollte aber wie gesagt auch ohne die /32 gehen.

 

[maalik]

Habe es sowohl mit als auch ohne Subnet-Angabe probiert. In beiden Fällen bekomme ich
"Es tut uns Leid, die von Ihnen gesuchte Seite konnte nicht gefunden werden."
zu sehen.
Neugestartet habe ich mit

synoservicectl --restart nginx

, aber auch

nginx -s reload

hatte keinen Erfolg.

nginx -t

liefert sowohl mit als auch ohne Subnet-Angabe keinen Fehler:

nginx: the configuration file /etc/nginx/nginx.conf syntax is ok
nginx: configuration file /etc/nginx/nginx.conf test is successful

 

[maalik]

Ähem, hüstel. Ich nehm alles zurück. Habe meinen PC vor kurzem neu aufgesetzt und da wohl vergessen ihm die .10 als Default-IP zu geben...

Mein Fehler ?

 

[luddi]

@maalik Sehr schön das ganze auf das lokale Netzwerk zu beschränken. Gefällt mir sehr gut. Vielleicht stelle ich das auch noch um.

Momentan habe ich den Zugriff von Außen über htaccess geschützt.

Unter /var/services/web/phpMyAdmin die Datei .htaccess anlegen...

nano /var/services/web/phpMyAdmin/.htaccess

mit folgendem Inahlt:

AuthType Basic
AuthName "Bitte melden Sie sich an"
AuthUserFile /var/services/web/phpMyAdmin/.htpasswd
require valid-user

Anschließend das dazugehörige .htpasswd File erezugt mit:

htpasswd -c /var/services/web/phpMyAdmin/.htpasswd username

"username" am Ende der Zeile ist ein beliebiger Benuztername den man hier festlegen kann.
Man wird nach einem Passwort gefragt das man hier erstellt.

Der Benutzername wird hier im Klartext in der Datei .htpasswd abgelegt, wohingegen vom Passwort nur der Hashwert in der Datei .htpasswd gespeichert wird.

Den Eigentümer von Benutzer und Gruppe beider Dateien noch auf http setzen:

chown http:http /var/services/web/phpMyAdmin/.htaccess
chown http:http /var/services/web/phpMyAdmin/.htpasswd

Beim Aufruf des phpMyAdmin Webinterface wird man dann immer nach den Benutzerdaten (User/Password) gefragt bevor die Seite mit dem Login für phpMyAdmin dargestellt wird.

 

[maalik]

@luddi Dann hast du phpMyAdmin aber nicht über den Paketmanager installiert oder? Weil da läuft er dann ja über nginx und da tut die .htaccess nicht mehr.

 

[Fusion]

Komisch, ok. Hat sich ja geklärt, hatte grad überlegt, ob ich an den nginx Direktiven irgendwas übersehen hätte. hehe

Bei @luddi könnte ich mir vorstellen, dass er eventuell das Backend auf Apache gesetzt hat und es dann geht, weil er die .htaccess direkt in das Installationsverzeichnis /var/services/web/phpMyAdmin/.htaccess mit reingepackt hat und nicht in /web.

Das nginx / Apache Misch-Masch macht immer wieder Kopfschmerzen, auch wenn man es irgendwie auseinander gedröselt bekommt.

 

[geimist]

Man kann für die Eingangsfrage auch einfach das Paket starten / stoppen, wenn man phpMyAdmin lediglich aller halben Jahre braucht

 

[luddi]

@luddi Dann hast du phpMyAdmin aber nicht über den Paketmanager installiert oder?

Ich hatte es ursprünglich über den Paketmanager installiert aber irgendwann bin ich umgestiegen und habe es direkt selbst im webroot abgelegt um die neuere Version zu bekommen.

dass er eventuell das Backend auf Apache gesetzt hat

Aber das ist egal (ob über Paketmanager oder manuell installiert) wenn man wie @Fusion erwähnt das Backend mit Apache definiert. Und genau das ist bei mir auch der Fall.

 

[maalik]

Nach dem Update auf DSM 7 und die Auslagerung von phpmyadmin in /web_packages funktioniert die Lösung nicht mehr. Die Datei

/var/packages/phpMyAdmin/target/nginx_conf/www.phpMyAdmin.enable.conf

ist nicht vorhanden. Habe sie auch sonst nicht auf dem System gefunden. Jemand eine Idee, wo sich das jetzt versteckt?

 

[maalik]

Niemand eine Idee?

 

[hoewer]

Hallo @maalik ,

Die Zugriffssteuerung kann in DSM 7 direkt über die Weboberfläche gesteuert werden.
Dazu muss zunächst unter Systemsteuerung/Anmeldeportal/Erweitert ein Zugangskontrollprofil erstellt werden.

Dieses kann z.B. dem Eintrag aus obiger www.phpMyAdmin.enable.conf entsprechen oder auch komplizierter sein:

Profilname: Local Network

192.168.1.0/24	zulassen
Alle	verweigern

Anschließend muss dieses Profil in der WebStation unter "Webdienstportal" dem Dienst "phpMyAdmin" zugeordnet werden.
Manchmal werden die Dinge mit einem Upgrade tatsächlich einfacher... ;-)

 

[Fusion]

Ja, hab ich neulich auch mal genommen für eine lokale WordPress Installation. Und es funktioniert sogar.

 

[maalik]

hey hoewer,

das ist ja praktisch, dass das jetzt auch über die gui geht. nur leider geht es bei mir nicht. ich bekomme immer einen 403, egal was ich eingebe und wie ich es verschiebe. also sowohl mit 192.168.1.0/24, als auch mit 192.168.1.10/32, auch die reihenfolge der einträge habe ich beachtet.
was mache ich falsch?
über lokal geht es übrigens immer, nur über die domain nicht.

 

[Fusion]

Mehr Infos...

Ist das Profil zugewiesen?
Mit Profil immer 403, ohne immer phpmyadmin?

Wie ist die 'Domain' eingerichtet auf der DS?
Nur im Webdienst Portal für phpmyadmin, sonst nirgends eingetragen?
lokale DNS Auflösung oder extern und NAT Loopback (DNS Rebind Schutz Ausnahme) im Router?