phpMyAdminのセキュリティ設定のお話

私の場合DBの操作は基本コマンドで対応します。

レンタルサーバーではお馴染みのphpMyAdminがあります。

簡単にDBの操作ができるのでコマンドに慣れていない人にはありがたい存在だと思います。

しかしWeb上に設置するため設定を怠ると誰でもアクセスできるため危険です。

自分でサーバ構築する場合はデフォルトではインストールしません。

どうしても先方で操作するというときは、セキュリティのリスクを承知してもらいインストールする場合もあります。

セキュリティ対策

まずはインストールしたらディレクトリ名を変更します。

単語にする必要はないのでランダムで20文字ぐらいにしてあげます。

下記みたいなサービス使うのが手っ取り早いですね。

パスワード生成（パスワード作成）ツール

パスワード生成（パスワード作成）するweb・ウェブ制作に役立つ便利ツール。お好みのパスワードを生成（自動作成）することができるツールです。利用は完全無料です。

www.luft.co.jp

今回は「kvjeqx8bizrfR84JTYDp」にしておきます。

次に固定IPがあればIP制限します。

location /kvjeqx8bizrfR84JTYDp {
...
    allow ***.***.***.***; #許可するIP
    deny  all; 
...
}

固定IPがなければ毎回確認して設定しておくかBasic認証を設定しておきます。

location /kvjeqx8bizrfR84JTYDp {
...
    satisfy any;
    allow 127.0.0.1;
    deny all;
    auth_basic "Basic Authentication";
    auth_basic_user_file /path/.htpasswd;
...
}

これでアクセス制限は形になったかと思います。

あとは念のためrootの禁止をphpMyAdminのconfigに記述します。

$cfg['Servers'][$i]['AllowNoPassword'] = false;
$cfg['Servers'][$i]['AllowRoot'] = false;

人によっては便利なツールなのでしっかり設定して利用したいですね。