Можно ли «встроить» phpMyAdmin" в сайт на Laravel?

Ну распакуй в document root в поддиректорию pma и юзай.

по адресу blahblah.loc/phpmyadmin/index.php пишет:

«No input file specified.»

Настрой NGINX.

Cорян, это я туплю, распаковал в корень проекта, а надо в public. Спасибо за подсказку.

Обязательно придумай для phpMyAdmin какую-нибудь «хитрую» URL-ку (естественно, только https://...) - чтобы туда не ломились все подряд - и забей её в конфиг веб-сервера с соответствующим сопоставлением папке, где лежит phpMyAdmin.

Папка с phpMyAdmin не должна лежать внутри document root-а! - она должна лежать где-то сбоку.

Первое, что делают всякие сканирующие боты - это проверка всех типовых URL-к доступа к phpMyAdmin.

В чем смысл прятать адсреса, менять порты? Ротацию логов настроить не осилили? Так логи ввсе равно будут засираться, просто в соседнем месте.

Спасибо за совет. Я ее удалю сразу после некоторых манипуляций и обратно при необходимости добавлю.

Смотрю в документации по Laradock есть раздел «Use PhpMyAdmin», кажется я пытаюсь изобрести велосипед. Видимо там есть контейнер для этого.

В чем смысл прятать адсреса, менять порты? Ротацию логов настроить не осилили?

Причем здесь логи? ) Есть такое слово «безопасность» - начнут подбирать пароли, крякнут базу данных...

Кроме того, репутация сайта подрывается. Выставив на весь мир страничку phpMyAdmin-а, сайт может попасть в категорию небезопасных.

Скорее скомпрометируют через решето в самом сайте. А с такой логикой любой сервак с ssh на стандартном порту — тоже не безопасный. Ну не бред? Безопасность в другом месте делается.

А с такой логикой любой сервак с ssh на стандартном порту — тоже не безопасный.

Ну, порт неплохо бы и поменять. Если нет ограничения в доступе к порту по IP и включена аутентификация по паролю - то да, сайт не очень безопасный. Если только по сертификату - то терпимо.

Хорошо менять когда у тебя полтора человека с доступом и пара проектов. Когда ворох и доступы выдают/убираются часто — этот костыль только раздражает.

... Когда ворох и доступы выдают/убираются часто — этот костыль только раздражает.

Это зависит от того, какого рода реально требуется доступ. Можно, к примеру, дать web-интерфейс используя прием «секретной» https URL-ки. Тогда круг потенциальных «нарушителей» кардинально сжимается.

А зачем все это? Если сложный юз-кейс, то не проще ли пустить в интернет какой-нибудь отличный от 3306 порт и настроить fail2ban?

не проще ли пустить в интернет какой-нибудь отличный от 3306 порт ...

так периодически сканируют абсолютно все порты сервера. Открывать наружу БД-шный порт не через туннель и без ограничения по IP - это не очень хорошая идея.

тащемта перевесить ssh на другой порт и настроить fail2ban вполне себе правило хорошего тона

Нужно еще http и https перевесить обязательно, а то пауки и боты атакуе! Со втором согласен.

тащемта перевесить ssh на другой порт и настроить fail2ban вполне себе правило хорошего тона

Согласен, с той лишь оговоркой, что fail2ban - не догма. Если вы поставили себе csf, то привязывать еще ручками к нему «fail2ban» или что-нибудь другое, что автоматом меняет правила iptables - это не очень-то и хорошо и удобно.

Ну а номер SSH-порта меняется сразу после установки сервера - это святое. Только ведь это не решает всех проблем и не отменяет использования других мер предосторожности. Смена номеров портов - это так... чтобы какие-нибудь школьники-студенты не ломились на ваш сервак.

Ну а использовать дополнительные меры или нет - это зависит от назначения сервера и каких-то личных предпочтений.

Нужно еще http и https перевесить обязательно, а то пауки и боты атакуе! ...

Вы же должны понимать, что число попыток подбора паролей при смене 22-го порта на какой-нибудь другой, сокращается - так почему бы этого не сделать хотя бы разок, если это займет минуту?

Просто если вы когда-нибудь устроитесь на работу в какую-нибудь «сурьезную» контору и там отколете такой номер (оставите SSH на 22-ом порту), вас уволят.

«сурьезную»

Вот если так в кавычках, то и слава богу. Вообще авторизация по паролю — это не безопасно.

Ну а номер SSH-порта меняется сразу после установки сервера - это святое.

Вот соглашусь. Хоть пароль и не подберёт (и пользователь не root, и сам пароль длинный и рандомный), но пауза при входе всё ровно бесят. Так что на новом VPS сразу меняю порт, чтоб не стучались суки.

А ничего, что браузеры отправляют в гугл твои «секретные» URL?

А ничего, что браузеры отправляют в гугл твои «секретные» URL?

А не надо использовать CDN-ресурсы на таких страничках - подправить не сложно.

Кстати, я просто вынес phpmyadmin на поддомен основного сайта, который не светится в поисковиках.

Насколько это хорошее решение?

З.Ы. Пока не ломал, сканируют только основной домен.

Кстати, я просто вынес phpmyadmin на поддомен основного сайта, ...

В принципе, рано или поздно могут добраться до любого домена/поддомена, реально зарегистрированного в DNS.

Лучше не регистрировать такой поддомен в DNS, а просто прописать у себя на компе в /etc/hosts - тоже вариант. Ну и название поддомена, надеюсь, не phpmyadmin? :)

(для винды - C:\Windows\System32\drivers\etc\hosts)

Ваще-то в http есть авторизация. И не только по паролю. Можно по сертификату проверять клиента. Если серт правильный установлен - отображать ресур (пхп админ).

надеюсь, не phpmyadmin?

Ну это было бы неинтересно.

Хотя название ходовое, но боты о нём пока не догадываются

Ваще-то в http есть авторизация.

Для nginx+php-fpm я не осилил ее настроить, хотя так правильнее, но нужда может заставить :-)

Чем phpMyAdmin на сайты таскать рекомендую https://www.adminer.org/. Почти тоже самое только одним файлом.

Вы хотели сказать плохого тона?

Читайте Security through obscurity, исповедуемый вами подход ведет к большей небезопасности, чем вам кажется и дает призрачное ощущение защищенности

Просто если вы когда-нибудь устроитесь на работу в какую-нибудь «сурьезную» контору и там отколете такой номер (оставите SSH на 22-ом порту), вас уволят.

Это вас в шарашкиной конторе с хреновой СБ и «эффективными менеджерами» за это уволят. В настоящей секьюрной конторе вас уволят за перевешенный ssh на другой порт. Безопасность достигается другим методом, 100500 китайских и школьных подборщиков никакой роли не играют с качественным паролем и установленными обновлениями, а целенаправленную атаку ваше перевешивание не остановит, порт найдут за 10 минут и будут применять совсем другие подходы к взлому, пока вы спокойно дрыхнете и думаете, что защищены, а когда сервер уже имеют - бегаете и пытаетесь вспомнить куда его повесили, на 522 или 10522

Отключаешь логин рутом, правильно настраиваешь sudo, ПОРТЫ НЕ ТРОГАЕШЬ, поднимаешь fail2ban, авторизацию делаешь по ключу - вот это хороший тон будет.

Если хочется немного STO добавить - то можешь knockd еще поставить, порты для этого менять не обязательно.

Еще не забудь, что администраторы иногда в отпуск уезжают и в каком-нибудь отеле может быть заблокирован VPN и нестандартные порты, оставишь своими чудо настройками компанию без возможности отражения атаки вообще.

смена порта это не про безопасность, а про отказ обслуживать тупых ботов, перебирающих «широкоиспользуемые» пароли на стандартном порту. не все же оперируют дедиками под проект

смена порта это не про безопасность, а про отказ обслуживать тупых ботов

Вам же уже предложили выше закрыть 80-ый, сильно ресурсы сервера разгрузите.

предпочитаю не гиперболизировать

Вам же уже предложили выше закрыть 80-ый, сильно ресурсы сервера разгрузите

80-й порт - это порт сервиса, предоставляемого сервером окружающему миру. SSH-порт - это порт доступа к серверу для обслуживающего персонала (в контексте данного разговора). Немного разные сущности - осознаете? ) Стало быть, и подход к ним может быть разный...

Еще не забудь, что администраторы иногда в отпуск уезжают и в каком-нибудь отеле может быть заблокирован VPN и нестандартные порты, оставишь своими чудо настройками компанию без возможности отражения атаки вообще.

На этот случай в настоящей конторе есть другой администратор.

Собственно, нравится держать SSH на 22-ом порту и постоянно наблюдать мусор в логах - на здоровье.

предпочитаю не гиперболизировать

Вы можете у себя как угодно настраивать, других не учите плохому просто. А то ж вас тут начитаются и полезут потом ко мне работать со своими мега идеями.

Вам все равно на этих портах нужно настраивать sshguard, fail2ban и иже с ними, о чем выше писалось, так зачем лишний раз нарушать стандарты и нормы? Хороший сисадмин упорядочивает службы, использует универсальные решения и не подкладывает свиней своим коллегам, заставляя их копаться в горах алиасов и тыкать nmap чтоб на сервер попасть.

Вот сейчас подумалось, у нас в этом треде ж нет ни слова про защиту или безопасность, вы тупо логи чистите себе таким способом. Так давайте не будем понятия подменять? А то я тут пишу про iptables, sshguard, knockd, а писать то надо про logrotate видать.

Вы можете у себя как угодно настраивать, других не учите плохому просто. А то ж вас тут начитаются и полезут потом ко мне работать со своими мега идеями ... так зачем лишний раз нарушать стандарты и нормы?

А вы у нас пуп земли - истина в последней инстанции?))) Кроме вас и вашей компании есть еще и другие места, где люди предпочитают работать по своему.

Мы не плохому учим, а учим мозги включать - обращаться к здравому смыслу, а не действовать по шаблону, на который настроены все боты, сканеры, хакеры и просто всякие раздолбаи по всему свету. И не только из чистых соображений безопасности, а и для того, чтобы снизить общее число различных атак (что может влиять и на стабильность работы сервера). Хотя иногда бывает просто необходимо оставить аутентификацию по паролю, открыв доступ только конкретной группе IP-шников (например, конкретного провайдера). Кроме корпоративных серверов, мил человек, есть еще частные VPS-сервера, где в жизнь вступают совсем другие соображения и правила, о которых вы даже не догадываетесь в силу своего весьма ограниченного жизненного опыта.

Хороший сисадмин упорядочивает службы, использует универсальные решения и не подкладывает свиней своим коллегам, заставляя их копаться в горах алиасов и тыкать nmap чтоб на сервер попасть.

У хорошего сисадмина все, кому нужно, знают конкретный номер SSH-порта, а другим и знать не положено. Если хороший сисадмин увольняется, то он корректно передает дела своему коллеге, а не просто сваливает из конторы хлопнув дверью. Кроме того, хороший сисадмин ведет документацию - чтобы новому человеку было максимально просто приступить к своим рабочим обязанностям.

Юзаю контейнер с phpMyAdmin в Laradock. Очень удобно, одной строчкой в терминале поднял и также вырубил. Все есть в документации. Проблема решена.

естественно, только https://...

штааа?! т.е. если я размещу чтото на https://... - то туда будут не ломиться все подряд? а только нужные люди? скажи телефон дилера, я тоже хочу такого добра!