User das Recht phpmyadmin auszuführen

[Fusion]

Und das kann ich nicht nachvollziehen, das eigentliche Problem.

Du sagst doch LAN-IP/phpMyAdmin ist im LAN einfach aufrufbar oder nicht? Also kann das auch jeder beliebeige Nutzer aufrufen.
Was er dann in phpMyAdmin anfangen kann steht ja auch einem anderen Blatt weil man sich dort ja mit Datenbank-Benutzern und Passwörtern anmeldet und nicht mit DSM-Konten.

 

[madrix]

ja, über LAN geht das so, aber der User sitzt nicht im LAN.

 

[Fusion]

Bitte keine Vollzitate.

Aha, und wenn also der User von extern darauf zugreifen können soll ist das phpMyAdmin Interface ja wieder für alle zugänglich. Das ist ja nicht an einen DSM-Konten-Auth gebunden.
Also musst du wohl trotzdem heraus finden wieso der phpMyAdmin bei dir, im Vergleich zu einer Installation bei mindestens 5 anderen Leuten die ich noch befragt habe (mit offenem Port 80/443), von extern nicht erreichbar ist und alle anderen erst extra Gegenmaßnahmen treffen müssen um das zu erreichen.
Wenn klar ist woran das liegt kann man auch an die Absicherung gehen.
Man kann z.B auch via .htaccess dafür sorgen, dass jemand nur von einer externen IP auf das Verzeichnis zugreifen kann, die sich aktuell hinter einer externen dynDNS verbirgt, also sozusagen eine Prüfung auf den zugreifenden Anschluss.
Ist der externe Zugreifer dynamisch oder auch schon im fixen Fall würde ich dann eher auf VPN setzen.

 

[madrix]

Genau das möchte ich nicht.

Entweder meldet er sich in DSM an und kann dann "intern" phpmyadmin aufrufen, oder er kommt nicht auf meine DBs.

Das phpmyadmin nicht über eine simple URL von extern zu erreichen ist, ist ein Segen, den ich garantiert nicht aushelben werde.

 

[Fusion]

Das ist aber halt Zufall.

Da du ja per http://LAN-IP/phpMyAdmin drauf kommst, ohne DSM Anmeldung, gibt es da keinen Zugriffsschutz.
Deshalb gibt es da im DSM auch nichts einzustellen (und dass nur Admins den Eintrag im DSM menü vorfinden)

 

[rednag]

Per Default ist phpMyAdmin aus dem Internet zugänglich. Zumindest dann, wenn die DS erreichbar ist. Per Ports, DynDNS, QuickConnect spielt erstmal keine Rolle.
In Volume1/web wird ein Ordner /phpMyAdmin angelegt. Alles innerhalb diesen Ordners ist vom Internet einsehbar. Das ist ja Ziel des Ordners. Genaueres hat ja @Fusion in #15 bereits geschrieben. Du kannst aber auch mit einer .htaccess den Zugriff auf interne IPs oder anderweitig beschränken. Warum PMA bei Dir nicht aufrufbar ist, ist ein offensichtlicher Fehler. Ich würde der Sache auf den Grund gehen, und dann die Vorschläge hier zur Absicherung angehen. Du kannst ja zusätzlich auch fail2Ban (automatische Blockierung) von DSM nutzen. Da wird jede IP nach einer gesissen Anzahl von fehlerhaften Anmeldeversuchen blockiert.

 

[madrix]

Du kannst ja zusätzlich auch fail2Ban (automatische Blockierung) von DSM nutzen. Da wird jede IP nach einer gesissen Anzahl von fehlerhaften Anmeldeversuchen blockiert.

Gilt das auch für PMA? Die automatische Blockierung hab ich eh aktiviert.

 

[rednag]

Sollte zumindest für Zugriffe über http/https funktionieren. Was anderes ist ja PMA nicht. Ist ja auch nur eine Webanwendung.
Aber nachdem ich gelesen habe:

Verschiedene Dienste und Pakete unterstützen die automatische Blockierung, z. B. die folgenden: DSM, SSH, Telnet, rsync, Netzwerksicherung, Synchronisierung von freigegebenen Ordnern, FTP, WebDAV, File Station, Photo Station, Audio Station, Video Station, Download Station, Mail Server, Mail Station, Time Backup, VPN Server, Cloud Station und die mobilen Apps von Synology.

bin ich mir selbst nicht mehr sicher. Aber das kannst Du ja ganz einfach selbst ausprobieren.