APACHE2/PHPMYADMIN 问题。
我的 ubuntu 网络服务器最近被一个网络应用程序检查程序扫描,它会检查我的服务器中是否存在任何漏洞。
我收到的结果大多是中等级别的漏洞,管理层希望我能尽快解决问题。
其中一个问题是use basic authentication over an https connection这个目录/phpmyadmin/setup
转到该链接https://<ip>/phpmyadmin/setup,将会提示一个 javascript 登录页面,需要输入用户名/密码。
我实际上并不知道有这样的目录,主要是因为我刚刚安装了 LAMP 并离开,并且配置非常少。
现在我试图了解如何使用 HTTPS 访问该链接,关于如何正确执行此操作,有什么想法吗?
答案1
您的公司需要聘请顾问来 a) 彻底检查您的系统,以及 b) 教您如何保护 LAMP 站点的基本知识。同时,我建议您这样做
chmod -R 000 /path/to/wwwfiles/phpmyadmin/setup
这将使所有人都无法访问该页面,从而堵塞该特定的安全漏洞。
答案2
我真的不明白你们管理层为何会对使用 HTTPS 进行基本身份验证感到恐慌,将其标记为紧急问题似乎有点过分了。(见https://security.stackexchange.com/questions/988/is-basic-auth-secure-if-done-over-https对此事进行更多讨论,是的,我意识到存在潜在的缺陷,但至少密码在这里不会以明文形式传输)。
除了 Jenny D 的回答之外,如果您进行手动配置,则不需要设置目录,这不是攻击者可以利用任何已知弱点的手段,也不是用户访问的东西。如果您愿意,只需删除磁盘上的该文件夹或将权限更改为 000,即可安全地将其从官方分发的 phpMyAdmin 文件中移除。
但是,我也无法重现您描述的情况;实际上,phpMyAdmin 不使用任何 JavaScript 进行身份验证提示(有四种方式可以对 phpMyAdmin 进行身份验证;在配置文件中对用户名和密码进行硬编码,以便根本不会提示您(auth_type config),用户名和密码的内联表单(auth_type cookie),并要求您的 Web 服务器通过 http 基本身份验证提示您,这实际上可能是您的意思,但不是 JavaScript(auth_type http)。如果您不喜欢 http 基本提示,您可以尝试将 auth_type 更改为 cookie,但我在这里做了一个快速测试,安装目录似乎不受 auth_type 的影响,所以我开始怀疑您有一个额外的安全层,它是由您的 Web 服务器而不是 phpMyAdmin 本身提供的。