_このチュートリアルの以前のバージョンはhttps://www.digitalocean.com/community/users/bpb[Brennan Bearnes]によって作成されました。

前書き

多くのユーザーは、MySQLのようなデータベース管理システムの機能を必要としますが、MySQLプロンプトだけからシステムとやり取りするのは気分が悪いかもしれません。

phpMyAdminは、ユーザーがWebインターフェースを介してMySQLとやり取りできるように作成されました。 このガイドでは、phpMyAdminを安全に使用してUbuntu 18.04システム上のデータベースを安全に管理できるように、phpMyAdminをインストールして保護する方法について説明します。

前提条件

このガイドを開始する前に、いくつかの基本的な手順を完了する必要があります。

最初に、https://www.digitalocean.com/で説明されているように、サーバーに「+ sudo 」権限を持つ非* root *ユーザーと、「 ufw +」で設定されたファイアウォールがあると仮定します。 community / tutorials / initial-server-setup-with-ubuntu-18-04 [Ubuntu 18.04の初期サーバーセットアップガイド]。

また、Ubuntu 18.04サーバーでLAMP(Linux、Apache、MySQL、およびPHP)のインストールを完了したと想定します。 これがまだ完了していない場合は、https://www.digitalocean.com/community/tutorials/how-to-install-linux-apache-mysql-php-lamp-stack-ubuntu-18-04でこのガイドに従うことができます。 [Ubuntu 18.04にLAMPスタックをインストールする]。

最後に、phpMyAdminなどのソフトウェアを使用する際には、次の理由から重要なセキュリティ上の考慮事項があります。

  • MySQLインストールと直接通信します

  • MySQLクレデンシャルを使用した認証を処理します

  • 任意のSQLクエリの結果を実行して返します

これらの理由により、また攻撃の対象となることが多い、広く配備されたPHPアプリケーションであるため、プレーンHTTP接続を介してリモートシステムでphpMyAdminを実行しないでください。 SSL / TLS証明書で構成された既存のドメインがない場合は、https://www.digitalocean.com/community/tutorials/how-to-secure-apache-with-let-s-でこのガイドに従うことができますencrypt-on-ubuntu-18-04 [Ubuntu 18.04でLet’s Encryptを使用してApacheを保護する]。 これには、https://www.digitalocean.com/community/tutorials/how-to-point-to-digitalocean-nameservers-from-common-domain-registrars [ドメイン名を登録]、https:// wwwが必要です。 .digitalocean.com / community / tutorials / an-introduction-to-digitalocean-dns [サーバーのDNSレコードを作成]、およびhttps://www.digitalocean.com/community/tutorials/how-to-install-the- apache-web-server-on-ubuntu-18-04#step-5-%E2%80%94-setting-up-virtual-hosts-(推奨)[Apache仮想ホストのセットアップ]。

これらの手順を完了したら、このガイドを開始できます。

ステップ1-phpMyAdminのインストール

開始するには、デフォルトのUbuntuリポジトリからphpMyAdminをインストールします。

これは、サーバーのパッケージインデックスを更新し、 `+ apt +`パッケージシステムを使用してファイルをプルダウンし、システムにインストールすることで実行されます。

sudo apt update
sudo apt install phpmyadmin php-mbstring php-gettext

インストールを正しく構成するために、いくつかの質問が表示されます。

  • サーバーを選択するには、「+ apache2 +」を選択します

  • データベースをセットアップするために「+ dbconfig-common 」を使用するかどうかを尋ねられたら、「 Yes +」を選択します

  • 次に、phpMyAdminのMySQLアプリケーションパスワードを選択して確認するように求められます。

インストールプロセスは、phpMyAdmin Apache設定ファイルを + / etc / apache2 / conf-enabled / +`ディレクトリに追加し、そこで自動的に読み込まれます。 あなたがする必要がある唯一のことは、 `+ mbstring + PHP拡張を明示的に有効にすることです。

sudo phpenmod mbstring

その後、変更が認識されるようにApacheを再起動します。

sudo systemctl restart apache2

phpMyAdminがインストールされ、構成されました。 ただし、ログインしてMySQLデータベースと対話する前に、MySQLユーザーがプログラムと対話するために必要な特権を持っていることを確認する必要があります。

手順2-ユーザー認証と特権の調整

サーバーにphpMyAdminをインストールすると、プログラムの特定の基になるプロセスを実行する `+ phpmyadmin +`というデータベースユーザーが自動的に作成されます。 インストール中に設定した管理パスワードを使用してこのユーザーとしてログインするのではなく、* root * MySQLユーザーまたはphpMyAdminインターフェースを介したデータベース管理専用ユーザーとしてログインすることをお勧めします。

MySQLルートアカウントのパスワードアクセスの構成

MySQL 5.7(以降のバージョン)を実行しているUbuntuシステムでは、* root * MySQLユーザーは、パスワードではなくデフォルトで `+ auth_socket +`プラグインを使用して認証するように設定されています。 これにより、多くの場合、セキュリティと使いやすさが向上しますが、外部プログラム(phpMyAdminなど)がユーザーにアクセスできるようにする必要がある場合にも事態が複雑になります。

  • root * MySQLユーザーとしてphpMyAdminにログインするには、認証方法を「+ auth_socket 」から「 mysql_native_password +」に切り替える必要があります(まだ行っていない場合)。 これを行うには、ターミナルからMySQLプロンプトを開きます。

sudo mysql

次に、次のコマンドを使用して、各MySQLユーザーアカウントが使用する認証方法を確認します。

SELECT user,authentication_string,plugin,host FROM mysql.user;
Output+------------------+-------------------------------------------+-----------------------+-----------+
| user             | authentication_string                     | plugin                | host      |
+------------------+-------------------------------------------+-----------------------+-----------+
| root             |                                           | auth_socket           | localhost |
| mysql.session    | *THISISNOTAVALIDPASSWORDTHATCANBEUSEDHERE | mysql_native_password | localhost |
| mysql.sys        | *THISISNOTAVALIDPASSWORDTHATCANBEUSEDHERE | mysql_native_password | localhost |
| debian-sys-maint | *8486437DE5F65ADC4A4B001CA591363B64746D4C | mysql_native_password | localhost |
| phpmyadmin       | *5FD2B7524254B7F81B32873B1EA6D681503A5CA9 | mysql_native_password | localhost |
+------------------+-------------------------------------------+-----------------------+-----------+
5 rows in set (0.00 sec)

この例では、* root *ユーザーが実際に `+ auth_socket `プラグインを使用して認証していることがわかります。 パスワードで認証するように* root *アカウントを設定するには、次の ` ALTER USER`コマンドを実行します。 必ず `++`を選択した強力なパスワードに変更してください:

ALTER USER 'root'@'localhost' IDENTIFIED WITH mysql_native_password BY '';

次に、 `+ FLUSH PRIVILEGES +`を実行して、サーバーに許可テーブルをリロードし、新しい変更を有効にするように指示します。

FLUSH PRIVILEGES;

各ユーザーが採用している認証方法を再度チェックして、* root *が `+ auth_socket +`プラグインを使用して認証を行っていないことを確認します。

SELECT user,authentication_string,plugin,host FROM mysql.user;
Output+------------------+-------------------------------------------+-----------------------+-----------+
| user             | authentication_string                     | plugin                | host      |
+------------------+-------------------------------------------+-----------------------+-----------+
| root             | *DE06E242B88EFB1FE4B5083587C260BACB2A6158 |  | localhost |
| mysql.session    | *THISISNOTAVALIDPASSWORDTHATCANBEUSEDHERE | mysql_native_password | localhost |
| mysql.sys        | *THISISNOTAVALIDPASSWORDTHATCANBEUSEDHERE | mysql_native_password | localhost |
| debian-sys-maint | *8486437DE5F65ADC4A4B001CA591363B64746D4C | mysql_native_password | localhost |
| phpmyadmin       | *5FD2B7524254B7F81B32873B1EA6D681503A5CA9 | mysql_native_password | localhost |
+------------------+-------------------------------------------+-----------------------+-----------+
5 rows in set (0.00 sec)

この出力から、* root ユーザーがパスワードを使用して認証されることがわかります。 ここで設定したパスワードを使用して、 root *ユーザーとしてphpMyAdminインターフェースにログインできます。

専用のMySQLユーザーのパスワードアクセスの構成

あるいは、専用ユーザーでphpMyAdminに接続する方がワークフローに適している場合もあります。 これを行うには、MySQLシェルをもう一度開きます。

sudo mysql

そこから、新しいユーザーを作成し、強力なパスワードを付与します。

CREATE USER ''@'localhost' IDENTIFIED BY '';

次に、新しいユーザーに適切な特権を付与します。 たとえば、次のコマンドを使用して、データベース内のすべてのテーブルにユーザー権限を付与し、ユーザー権限を追加、変更、削除する権限を付与できます。

GRANT ALL PRIVILEGES ON *.* TO ''@'localhost' WITH GRANT OPTION;

その後、MySQLシェルを終了します。

exit

サーバーのドメイン名またはパブリックIPアドレスに続いて `+ / phpmyadmin +`にアクセスすると、ウェブインターフェースにアクセスできます。

http:///phpmyadmin

image:https://assets.digitalocean.com/articles/phpmyadmin_1804/phpmyadmin_sammy_login_small.png [phpMyAdminログイン画面]

  • root *として、または構成したばかりの新しいユーザー名とパスワードを使用して、インターフェースにログインします。

ログインすると、次のようなユーザーインターフェースが表示されます。

image:https://assets.digitalocean.com/articles/phpmyadmin_1804/phpmyadmin_sammy_ui.png [phpMyAdminユーザーインターフェイス]

phpMyAdminに接続してやり取りできるようになったので、あとはシステムのセキュリティを強化して攻撃者から保護するだけです。

ステップ3-phpMyAdminインスタンスの保護

遍在性があるため、phpMyAdminは攻撃者に人気のあるターゲットであり、不正アクセスを防ぐために細心の注意を払う必要があります。 これを行う最も簡単な方法の1つは、Apacheの組み込みの「+ .htaccess」認証および承認機能を使用して、アプリケーション全体の前にゲートウェイを配置することです。

これを行うには、まずApache設定ファイルを編集して、 `+ .htaccess +`ファイルオーバーライドの使用を有効にする必要があります。

Apache構成ディレクトリに配置されているリンクファイルを編集します。

sudo nano /etc/apache2/conf-available/phpmyadmin.conf

次のように、設定ファイルの `+ <Directory / usr / share / phpmyadmin> `セクション内に ` AllowOverride All +`ディレクティブを追加します。

/etc/apache2/conf-available/phpmyadmin.conf

<Directory /usr/share/phpmyadmin>
   Options FollowSymLinks
   DirectoryIndex index.php

   . . .

この行を追加したら、ファイルを保存して閉じます。

行った変更を実装するには、Apacheを再起動します。

sudo systemctl restart apache2

アプリケーションで `+ .htaccess +`の使用を有効にしたので、実際に何らかのセキュリティを実装するために作成する必要があります。

これを成功させるには、アプリケーションディレクトリ内にファイルを作成する必要があります。 次のように入力して、必要なファイルを作成し、root権限でテキストエディターで開くことができます。

sudo nano /usr/share/phpmyadmin/.htaccess

このファイル内で、次の情報を入力します。

/usr/share/phpmyadmin/.htaccess

AuthType Basic
AuthName "Restricted Files"
AuthUserFile /etc/phpmyadmin/.htpasswd
Require valid-user

これらの各行の意味は次のとおりです。

  • + AuthType Basic +:この行は、実装する認証タイプを指定します。 このタイプは、パスワードファイルを使用してパスワード認証を実装します。

  • + AuthName +:これは、認証ダイアログボックスのメッセージを設定します。 権限のないユーザーが保護対象に関する情報を取得できないように、この汎用を保持する必要があります。

  • + AuthUserFile +:これは、認証に使用されるパスワードファイルの場所を設定します。 これは、提供されるディレクトリの外部にある必要があります。 このファイルはすぐに作成します。

  • + Require valid-user +:これは、認証されたユーザーのみにこのリソースへのアクセスを許可することを指定します。 これは、許可されていないユーザーの侵入を実際に阻止するものです。

終了したら、ファイルを保存して閉じます。

パスワードファイル用に選択した場所は `+ / etc / phpmyadmin / .htpasswd `でした。 これで、このファイルを作成し、 ` htpasswd +`ユーティリティで初期ユーザーに渡すことができます:

sudo htpasswd -c /etc/phpmyadmin/.htpasswd

作成するユーザーのパスワードを選択して確認するように求められます。 その後、入力したハッシュされたパスワードでファイルが作成されます。

追加のユーザーを入力する場合は、次のように `+ -c +`フラグを*せずに入力する必要があります。

sudo htpasswd /etc/phpmyadmin/.htpasswd

これで、phpMyAdminサブディレクトリにアクセスすると、設定した追加のアカウント名とパスワードの入力を求められます。

https:///phpmyadmin

image:https://assets.digitalocean.com/articles/phpmyadmin_1404/apache_auth.png [phpMyAdmin apache password]

Apache認証を入力すると、通常のphpMyAdmin認証ページに移動して、MySQL資格情報を入力します。 この設定により、セキュリティの追加レイヤーが追加されます。これは、phpMyAdminが過去に脆弱性に悩まされていたためです。

結論

これで、phpMyAdminが設定され、Ubuntu 18.04サーバーで使用できるようになります。 このインターフェイスを使用すると、データベース、ユーザー、テーブルなどを簡単に作成し、構造やデータの削除や変更などの通常の操作を実行できます。