Sécurisation accès MySQL et phpmyadmin

[Mamax]

Bonjour,

J'ai un serveur qui me sert d'hébergement pour quelques sites web. Sur ce serveur tourne également un serveur VPN.
J'ai bien entendu configuré mon firewall, mais je souhaiterais aller un peu plus loin afin de sécuriser mon accès (via phpmyadmin) à ma base MySQL

Pour le moment, un http://hostname/phpmyadmin depuis n'importe quelle machine sur le net même tout droit à la page phpmyadmin.

Ce que je souhaiterais c'est d'autoriser l'accès à la page phpmyadmin uniquement depuis la connexion VPN.

Quelqu'un pourrais m'aider à mettre cela en place?
Ou s'il existe une autre manière de de sécuriser cet accès?

[ccnet]

Ma réponse ne va peut être pas vous plaire. phpmyadmin est peu sûr. La base SQL ne devrait pas se trouver sur la même machine et la machine MySQL ne devrait pas être dans la même zone réseau que le serveur http (dmz différente). La protection indispensable d'un serveur web est aujourd'hui un firewall applicatif (reverse proxy par exemple, vulture, ...) en plus du firewall réseau. Le vpn devrait être sur le firewall devant le serveur web. Bref vous avez un problème général d'architecture. Une amélioration sensible de votre niveau de sécurité passe par une refonte de l'architecture.
Bien entendu tous vos mots de passe doivent être robustes, les applications php doivent respecter de nombreux critères dans l'écriture du code pour être sûres, le trafic doit être strictement cloisonné.
Avec l'architecture que vous utilisez, un de mes clients s'est "offert" 4 intrusions réussies en trois mois. Failles applicatives essentiellement.

[Mamax]

Bonjour,

Merci pour cette réponse.
Pour ce qui est des solutions matérielles, je crains de ne pouvoir faire grand chose car c'est un serveur loué et hébergé dans un datacenter (Serveur Gandi)

Ce serveur me sert à héberger mon blog ainsi que le site de 2 ou 3 amis (que je gère) essentiellement. Il n'a donc pas de vocation "commercial". Les services tournant dessus sont apache, mySQL, openssh, proftpd (uniquement en sftp) et openvpn

Il est clair qu'il n'est pas recommandé pour une utilisation commerciale d'avoir autant de services sur la même machine.

Je voulais juste savoir s'il existait un moyen de n'autoriser l'accès à phpmyadmin que depuis une IP spécifique par exemple

[jdh]

Je peux imaginer qu'il s'agit d'un serveur de type Linux avec les services apache, mysql, (php), vpn (openvpn).

En regardant du côté de "allow from", on doit pouvoir n'autoriser la réponse pour un "alias apache" que des ip affectés aux clients OpenVpn.
On peut, de plus, fortement investiguer les fichiers .htaccess.


Cela n'enlève rien aux idées générales de ccnet qui sont fortes et directrices (et auxquelles je souscris).

Il est impératif, sur ce type de machine, de suivre les mises à jour (critique, de sécurité, ...) de chaque logiciel (apache, mysql, ...) ainsi que les "moteurs" de type blog (dotclear, wordpress, ...) utilisés ...

J'ai cité le cas d'un blog utilisé, depuis 4 ans, et définitivement bloqué : changement de registrar, location d'un serveurs privé, et remontée de backup ...
Comme d'habitude, il ne faut pas attendre la crise pour penser backup. (Je pense qu'il s'agit d'un critère essentiel pour choisir un moteur de blogs ...)

[ccnet]

Il n'a donc pas de vocation "commercial"

Néanmoins votre serveur, entre les mains d'un pirate, pourrait être fort utile. Un peu d'imagination ...

[Mamax]

exact.

Bon j'ai trouvé une solution à mon problème: virer phpmyadmin

J'ai trouvé un client SQL qui se connecter à mySQL via une connexion SSH. Du coup plus besoin de phpmyadmin!
Au moins un souci de réglé.

J'ai bloqué FTP (je n'utilisait que SFTP de toute façon)

Du coup tous les ports sont fermés sauf 22, 80 et 1194
Le soft est à jour (apache, openssh, l'OS (ubuntu), openVPN, wordpress)

[jibe]

Salut,

On évite généralement de laisser SSH sur le port 22, trop connu. Si tu peux le changer, cela ajoute un petit plus à la sécurité

[ccnet]

Ma pratique des tests d'intrusion me montre que le changement de port ne sert à rien. En pratique je ne me préoccupe jamais de savoir si un service est, ou non, sur un port standard. Si le service est en écoute sur un port quelconque, je vais le trouver de toute façon.

[jibe]

Salut,

Ça ne sert à rien dans le sens qu'effectivement ce n'est pas cela qui gênera un vrai pirate. Mais ça élimine quand même tous les petits génies boutonneux qui essaient de rentrer partout juste pour montrer de quoi ils sont capables. Ils sont quand même un bon nombre à essayer sur le port classique et à abandonner s'il est fermé. Ça évite qu'ils saturent la bande passante en essayant de trouver le mot de passe par force brute

Autrement dit : il vaut mieux utiliser un autre port et un solide mot de passe plutôt que laisser le port standard et mettre son prénom comme password