Current time: 12-23-2024, 05:52 PM Hello There, Guest! (LoginRegister)


Thread Closed 
 
Thread Rating:
  • 0 Votes - 0 Average
  • 1
  • 2
  • 3
  • 4
  • 5
[ERLEDIGT] PMA besser absichern
Author Message
fulltilt Offline
Member
***

Posts: 1,225
Joined: Apr 2007
Reputation: 5
Post: #41
RE: [ERLEDIGT] PMA besser absichern
joximu Wrote:Umbenennen des Verzeichnisses /var/www/ispcp/gui/tools/pma
oder ggf. mit einem anderen Alias in der Apache überschreiben
/tools/pma -> irgendwohin...

Danke Dir - werde ich gleich noch ändern.

Klappt soweit alles ...
Ausser die SignonURL ...
Wo wird die geändert?
(This post was last modified: 02-12-2008 12:53 AM by fulltilt.)
02-12-2008 12:29 AM
Find all posts by this user
joximu Offline
helper
*****
Moderators

Posts: 7,024
Joined: Jan 2007
Reputation: 92
Post: #42
RE: [ERLEDIGT] PMA besser absichern
meinst du das?
PMA_PATH = ../tools/pma/
in ispcp.conf ansonsten schau im gui/client/login_pma.php oder so...

/J
02-12-2008 12:57 AM
Visit this user's website Find all posts by this user
fulltilt Offline
Member
***

Posts: 1,225
Joined: Apr 2007
Reputation: 5
Post: #43
RE: [ERLEDIGT] PMA besser absichern
joximu Wrote:gui/client/login_pma.php oder so...

Danke, könnte passen ... also es geht um das Login ohne PW aus dem GUI heraus. Nach meinen Änderungen fragt mich PMA jetzt immer nach dem PW.
Na ja - wäre auch nicht so schlimm :-)
02-12-2008 01:04 AM
Find all posts by this user
joximu Offline
helper
*****
Moderators

Posts: 7,024
Joined: Jan 2007
Reputation: 92
Post: #44
RE: [ERLEDIGT] PMA besser absichern
Hm... ich überlege mir gerade was anderes - das Umbenennen ist ja auch nicht wirklich sicher, man hat einfach mal weniger Standardskript-Angriffe.

Warum wollt ihr pma speziell sichern. Voralem wohl die Tabellen mysql und ispcp. Da haben ja nur 2 User drauf Schreibzugriff und noch ein paar andere teilweise Lesezugriff.

man könnte ja auch
$cfg['Servers'][$i]['hide_db'] = '(information_schema|phpmyadmin|mysql|ispcp)';
setzen - bzw. das nur weglassen, wenn bestimmte BEdingungen erfüllt sind (eine bestimmte IP, gleichzeitiges angemeldet sein in ispcp etc etc..)

das wäre doch auch was...

/J
02-12-2008 01:20 AM
Visit this user's website Find all posts by this user
fulltilt Offline
Member
***

Posts: 1,225
Joined: Apr 2007
Reputation: 5
Post: #45
RE: [ERLEDIGT] PMA besser absichern
joximu Wrote:Warum wollt ihr pma speziell sichern. Voralem wohl die Tabellen mysql und ispcp. Da haben ja nur 2 User drauf Schreibzugriff und noch ein paar andere teilweise Lesezugriff.

schaue mir das nachher mal genauer an :-)
Es geht mir hauptsächlich um den root login - wie gesagt wenn man sich ein paar Stunden / Tage mit Brutforce damit beschäftigt, könnte man sich Zugriff verschaffen.
02-12-2008 01:28 AM
Find all posts by this user
BeNe Offline
Moderator
*****
Moderators

Posts: 5,899
Joined: Jan 2007
Reputation: 68
Post: #46
RE: [ERLEDIGT] PMA besser absichern
Also ich habe den ispCP/webmail/PMA Zugriff komplett auf den SSL Port gelegt. Seit dem passiert hier nicht mehr viel. Die meisten Scanner laufen auf Port 80 wie es scheint und mögen keine SSL Verbindung auf Port 443.

Greez BeNe
02-12-2008 06:30 PM
Visit this user's website Find all posts by this user
fulltilt Offline
Member
***

Posts: 1,225
Joined: Apr 2007
Reputation: 5
Post: #47
RE: [ERLEDIGT] PMA besser absichern
BeNe Wrote:Also ich habe den ispCP/webmail/PMA Zugriff komplett auf den SSL Port gelegt. Seit dem passiert hier nicht mehr viel. Die meisten Scanner laufen auf Port 80 wie es scheint und mögen keine SSL Verbindung auf Port 443.

Greez BeNe

Danke :-)
werde ich nachher auch noch ändern.
Das beste wäre wohl, wenn die Bruteforce Detection wie in der Login Page später auch mal ins PMA (Webmail) integriert wird.
02-12-2008 06:43 PM
Find all posts by this user
joximu Offline
helper
*****
Moderators

Posts: 7,024
Joined: Jan 2007
Reputation: 92
Post: #48
RE: [ERLEDIGT] PMA besser absichern
HTTPS kostet viel mehr Rechenzeit für den Angreifer - das lohnt noch nicht...
(This post was last modified: 02-12-2008 07:42 PM by joximu.)
02-12-2008 07:41 PM
Visit this user's website Find all posts by this user
ZooL Offline
Moderator
*****
Moderators

Posts: 3,429
Joined: Jan 2007
Reputation: 79
Post: #49
RE: [ERLEDIGT] PMA besser absichern
joximu Wrote:HTTPS kostet viel mehr Rechenzeit für den Angreifer - das lohnt noch nicht...

genau so sieht es aus...
02-12-2008 08:47 PM
Visit this user's website Find all posts by this user
BeNe Offline
Moderator
*****
Moderators

Posts: 5,899
Joined: Jan 2007
Reputation: 68
Post: #50
RE: [ERLEDIGT] PMA besser absichern
Und meine Verbindung auch noch sicherer!
Damit haben wir zwei Fliegen mit einer klatsche Wink

Greez BeNe
02-12-2008 08:54 PM
Visit this user's website Find all posts by this user
Thread Closed 


Forum Jump:


User(s) browsing this thread: 9 Guest(s)