私の環境でBFA(無差別代入攻撃)からPHPmyadmin(PMA)を保護するための現在のアプローチは、次のうちのubuntu-nginx-https
1つ以上です。
1)PMAディレクトリの位置を有線で推測しにくい場所に変更します。
2)永続IPでログインしてください。
三)認識されたVPNを介してログインします(以下の説明に基づいて編集されます)。
4)別のセッションで一時的にPMAを実行しますtmux
。
cat <<-"PHPMYADMIN" > /opt/pma.sh
#!/bin/bash
find /var/www/html -iname '*phpmyadmin*' -exec rm -rf {} \;
cd /var/www/html && wget https://www.phpmyadmin.net/downloads/phpMyAdmin-latest-all-languages.zip
find /var/www/html -type f -iname '*phpmyadmin*.zip' -exec unzip {} \;
find /var/www/html -type d -iname 'phpmyadmin-*' -exec mv {} phpmyadmin \;
sleep 2h
find /var/www/html -iname '*phpmyadmin*' -exec rm -rf {} \;
tmux kill-session
PHPMYADMIN
chmod +x /opt/pma.sh
cat <<-"BASHRC" >> /etc/bash.bashrc
alias pma="tmux new-session -d 'bash /opt/pma.sh'"
BASHRC
source /etc/bash.bashrc
それから:
pma # execute script and use pma for 2 hours.
なぜ私はこれらの方法に慣れていないのですか?
誰かが無差別攻撃を試みることができるPMAへの有線の非直感的な経路を見つけたらどうなりますか?
私はそれを余裕ができません。時にはアパートの間を移動することができます。
目的に比べて圧倒的かもしれませんが、これは良いオプションです(最近ではVPNを他の目的に使用することはできません)。
このスクリプトはかなり重く、私が使用しているNginx Server Environment Setup(NSES)スクリプトの長さを長くします。
私の質問
私の環境で無差別代入攻撃からPMAを保護するために何をすべきですかubuntu-nginx-https
?
答え1
ドキュメントには「へのリンクがあります。phpMyAdminインストールセキュリティ詳しくは参照してください。
私が好きなもの:
- 明確でないディレクトリ名に変更することは、無差別代入攻撃を大幅に減らす簡単な方法です。攻撃者は/phpmyadmin/から/phpMyAdmin-4.7.7/まで、あらゆる種類の作業を試しましたが、ユーザーには理解できますが、ボットには明確ではない項目を選択すると、本当に攻撃ベクトルを減らしてください。
- phpMyAdmin 4.8.0(*脚注を参照)で認証ロギングを使用すると、Fail2Banなどの特別なツールを検出してブロックすることができます。
- 有効にできます。二重認証、phpMyAdmin 4.8.0 *から始まります。
- CAPTCHAを使用すると、無差別代入攻撃の効率が大幅に低下します。バラよりこれそしてこれ設定ガイドラインに使用されます。
*この記事を書いている時点ではまだ4.8.0がリリースされていませんが、開発スナップショットはかなり安定しています。