phpMyAdminのセキュリティ対策

下記の作業は「Hyper Backup」で「MariaDB」をバックアップしてない人は絶対に操作しないで下さい。

下記ドキュメントで「MariaDB」に「新規管理者の登録」と「不要IDの削除」を行いました。

MariaDBとphpMyAdminのインストールと設定

しかしこれだけではセキュリティ対策としては不十分で下記対策が考えられます。

①phpMyAdminを別名にする方法

②phpMyAdminをrootでアクセスできなくする方法

③phpMyAdminアクセスをローカルに限定する方法

下記にその設定方法を解説します。

1.phpMyAdminを別名にする方法

ドメイン名はWebサーバで公開しているので、その下に「phpMyAdmin」がある事は容易に想像できます。

この「phpMyAdmin」が別名になっていると、これを知っている人しかアクセスできなくなりますのでセキュリティは更に向上します。

下記にそのやり方を解説します。

1-1.「phpMyAdmin」のフォルダ名を変更する

■Webフォルダの下にある「phpMyAdmin」のフォルダ名を変更します。

メモ

phpMyAdminをコピー&ペーストして改名するとファイル所有者が変わる為に動きません。必ずリネームで実施して下さい。

1-2.パッケージセンターから「phpMyAdmin」をアンインストールします。

パッケージセンターのインストール済みをクリックすると「phpMyAdmin」がエラー表示されています。

■「phpMyAdmin」をクリックします。下記画面が出ます。

■アンインストールをクリックします。

以上で「phpMyAdmin」アプリケーションが無くなり、Webフォルダに別名にした「phpMyAdmin」のプログラムだけが残った状態になります。

注意（重要です）

「phpMyAdmin」をエラーの状態のまま放置すると「Hyper Backup」で「MariaDB」をバックアップする段階でエラーになり「MariaDBを壊してしまいます」。

もし「MariaDB」が壊れてしまった場合は、パッケージセンターから「MariaDB」をアンインストールし、「Hyper Backup」で障害の1つ前の「MariaDB」をリストアします。これで復旧できます。

操作方法は下記を参照してください。

Synologyのアプリケーション更新で障害が発生した時の対策

1-3.「config.inc.php」の修正

今の状態は「phpMyAdmin」を別名にしただけで、まだこのプログラムは動きません。

そこで下記修正を行います。

「Web→改名したphpMyAdmin」フォルダの中にある「config.inc.php」をEmEditorで開いてください。

現在のDBサーチ設定は下記になっています。

$i = 0;
$servers_json_str = file_get_contents('/var/packages/phpMyAdmin/target/synology_added/etc/servers.json');
foreach (json_decode($servers_json_str, true) as $server) {
	$i++;
	$cfg['Servers'][$i] = $server;
}

■上記の赤字の所がフォルダ名です。ここを修正したフォルダ名に変更します。

■変更を保存します

1-4.改名した「phpMyAdmin」の起動方法

新しい「phpMyAdmin」の起動方法は下記になります。

http(s)://貴方のURL/改名した「phpMyAdmin」名

この方法はインポートのファイルサイズに制限があります。

この方法は32MB以下のSQLファイルのインポートは問題なくできます。

Web Stationの「php.ini」のファイルサイズを変更すると32MB以上のファイルのインポートは可能です。

しかしこの方法はインポート終了後に「504エラー」がでます。

よってエラーを無くしてファイルをインポートしたい場合は、「phpMyAdminパッケージ」を一時的にインストールしてこちらで行ってください。

これを使うと「php.ini」の設定は関係なく「1GB」までのファイルが正常にインポートできます。

詳細は下記ドキュメントを見て下さい。

phpMyAdminの「Incorrect format parameter」エラーについて

2.phpMyAdminをrootでアクセスできなくする方法

rootは誰でも知っているIDなので、これでのアクセスを禁止する設定です。

「config.inc.php」の任意の場所に下記コードを追加します。

/* セキュリティ対策の為にrootを禁止にする設定 */
$cfg['Servers'][$i]['AllowRoot'] = false;

以上でrootではログインできなくなります。

メモ

上記の設定は「phpMyAdmin」にログインする時に「root」が使えないというだけです。「Hyper Backup」等で「MariaDB」にアクセスする時には使えます。

3.phpMyAdminアクセスをローカルに限定する方法

この設定はローカルLANからしかphpMyAdminにアクセスできない設定です。

これは完璧なセキュリティ対策になりますが、外出先からVPN接続でも接続できなくなる事が難点です。

「config.inc.php」の任意の場所に下記コードを追加します。

/* セキュリティ対策の為にphpMyadminはローカルipからのアクセスに限定する。*/
$cfg['Servers'][$i]['AllowDeny']['order'] = 'deny,allow';
$cfg['Servers'][$i]['AllowDeny']['rules'] = array('deny % from all','allow % from 192.168.1.0/24');

■上記の赤字のIPアドレスは私の自宅環境です。貴方の自宅環境に合わせて修正して下さい。

以上で「phpMyAdmin」のセキュリティ対策は完璧になりました。