phpMyAdmin nur für einen vhost einbinden

Geschrieben von Thomas Hochstein am Freitag, 8. September 2017

phpMyAdmin verwende ich seit über einem Jahrzehnt, um bequem auf die Datenbanken auf meinen verschiedenen Webspaces zugreifen zu können (und diesen Zugriff ggf. auch anderen Nutzern zu ermöglichen). Dabei nutze ich der Einfachheit halber das jeweilige Debian-Paket - je mehr Webapplikationen nicht gesondert aktualisiert werden müssen, desto besser.

Die Standardinstallation hat - aus meiner Sicht - allerdings einen Nachteil: sie macht phpMyAdmin für alle vhosts verfügbar, d.h. unter allen auf dem Server gehosteten “Domains” aufrufbar. Manchmal mag das praktisch sein, wenn man bspw. so für jeden Kunden scheinbar “sein” phpMyAdmin mitliefert; mir gefällt das aber nicht so gut, und sei es nur, weil phpMyAdmin (wie jede verbreitete Webapplikation) regelmäßig “angegriffen” wird (sprich: Bots rufen die URL auf und suchen nach Schwachstellen oder versuchen, das Passwort zu erraten). Lieber würde ich phpMyAdmin nur unter einer “Domain” - einem vhost aufrufbar machen.

Glücklicherweise lässt sich das ohne großen Aufwand machen.

Standardmäßig legt Debian (Stretch) bei der Installation des Pakets eine entsprechende Konfiguration unter /etc/apache2/conf-available/phpmyadmin.conf an und aktiviert sie durch einen Symlink in /etc/apache2/conf-enabled/. Diese Datei hat folgenden Inhalt:

# phpMyAdmin default Apache configuration

Alias /phpmyadmin /usr/share/phpmyadmin

<Directory /usr/share/phpmyadmin>
    Options SymLinksIfOwnerMatch
    DirectoryIndex index.php

    <IfModule mod_php5.c>
        <IfModule mod_mime.c>
            AddType application/x-httpd-php .php
        </IfModule>
        <FilesMatch ".+\.php$">
            SetHandler application/x-httpd-php
        </FilesMatch>

        php_value include_path .
        php_admin_value upload_tmp_dir /var/lib/phpmyadmin/tmp
        php_admin_value open_basedir /usr/share/phpmyadmin/:/etc/phpmyadmin/:/var/lib/phpmyadmin/:/usr/share/php/php-gettext/:/usr/share/php/php-php-gettext/:/usr/share/javascript/:/usr/share/php/tcpdf/:/usr/share/doc/phpmyadmin/:/usr/share/php/phpseclib/
        php_admin_value mbstring.func_overload 0
    </IfModule>
    <IfModule mod_php.c>
        <IfModule mod_mime.c>
            AddType application/x-httpd-php .php
        </IfModule>
        <FilesMatch ".+\.php$">
            SetHandler application/x-httpd-php
        </FilesMatch>

        php_value include_path .
        php_admin_value upload_tmp_dir /var/lib/phpmyadmin/tmp
        php_admin_value open_basedir /usr/share/phpmyadmin/:/etc/phpmyadmin/:/var/lib/phpmyadmin/:/usr/share/php/php-gettext/:/usr/share/php/php-gettext/:/usr/share/javascript/:/usr/share/php/tcpdf/:/usr/share/doc/phpmyadmin/:/usr/share/php/phpseclib/
        php_admin_value mbstring.func_overload 0
    </IfModule>

</Directory>

# Authorize for setup
<Directory /usr/share/phpmyadmin/setup>
    <IfModule mod_authz_core.c>
        <IfModule mod_authn_file.c>
            AuthType Basic
            AuthName "phpMyAdmin Setup"
            AuthUserFile /etc/phpmyadmin/htpasswd.setup
        </IfModule>
        Require valid-user
    </IfModule>
</Directory>

# Disallow web access to directories that don't need it
<Directory /usr/share/phpmyadmin/templates>
    Require all denied
</Directory>
<Directory /usr/share/phpmyadmin/libraries>
    Require all denied
</Directory>
<Directory /usr/share/phpmyadmin/setup/lib>
    Require all denied
</Directory>

Entscheidend ist dabei die Zeile Alias /phpmyadmin /usr/share/phpmyadmin - sie legt (global, da in der Serverkonfiguration eingebunden) für jeden vhost einen Alias an, der beim Aufruf von http://meine-domain.example/phpmyadmin/ nun eben phpMyAdmin anzeigt.

Will man diese Funktionalität auf einen vhost beschränken, genügt, es, die globale Konfiguration mit a2disconf phpmyadmin abzuschalten und sie danach stattdessen in einen vhost (oder auch mehrere) einzubinden:

<VirtualHost ${APACHE_IP4}:80 ${APACHE_IP6}:80>
    ServerName mein-vhost.example
    DocumentRoot /var/www/mein-vhost.example

    Include /etc/apache2/conf-available/phpmyadmin.conf
</VirtualHost>

Sinnvoll mag es zudem sein, die Konfiguration nur für einen vhost einzubinden, bei dem SSL aktiviert ist.

Dann noch ein service apache2 reload (oder systemctl reload apache2, oder apache2ctl graceful), und jetzt ist phpMyAdmin nur noch unter http://mein-vhost.example/phpmyadmin/ abrufbar - und nirgendwo sonst.

Wer ganz andere Lösungen umsetzen möchte als der Debian-Default es vorsieht (bspw. ein Aufruf über https://phpmyadmin.mein-vhost.example/), der kann die Debian-Konfiguration schlicht als Ausgangspunkt nehmen und die entscheidenden Teile in einen passenden vhost kopieren.

Trackbacks

Trackback-URL für diesen Eintrag

Keine Trackbacks

Kommentare

Ansicht der Kommentare: Linear | Verschachtelt

Noch keine Kommentare

Kommentar schreiben

Name*

E-Mail

Homepage

Kommentar*

Antwort zu

HTML-Tags werden in ihre Entities umgewandelt.

Markdown-Formatierung erlaubt

Standard-Text Smilies wie :-) und ;-) werden zu Bildern konvertiert.

BBCode-Formatierung erlaubt

Phone*

Gravatar, Identicon/Ycon Autoren-Bilder werden unterstützt.

Ich stimme zu, dass meine Daten verarbeitet (u.a. gespeichert und veröffentlicht) werden dürfen, wie dies in der Datenschutzerklärung dargestellt ist. Dort finden sich auch weitere Hinweise, bspw. zum Widerrufsrecht.

Formular-Optionen

Daten merken?

Bei Aktualisierung dieser Kommentare benachrichtigen