Phpmyadmin может получить доступ с любого логина и пароля

Question

Я недавно приобрел VPS, и я установил LAMP на нем. Когда я получаю доступ к Phpmyadmin через браузер, он запрашивает имя пользователя и пароль. Даже если я вставляю неправильный пароль, я могу войти в систему успешно. Я даже проверил его на другом ПК с другой сетью, мне разрешили войти в систему.

Итак, как я могу внести изменения таким образом, что неправильный пароль и комбинации Логин не позволяют пользователю войти в систему

. Примечание: Я установил fail2ban и Iptables на сервере. Проверено в файле конфигурации phpmyadmin /etc/panel/configs/phpmyadmin/config.inc.php, но не удалось найти, $ cfg ['Servers'] [$ i] ['AllowNoPassword'] = TRUE;

Answer 1

Похоже, что у вашей установки MySQL есть проблемы с безопасностью. Возможно, анонимному пользователю было предоставлено слишком много привилегий, или, по крайней мере, демон MySQL был запущен с параметром --skip-grant-tables.

Как вы установили phpMyAdmin? Использовали ли вы готовый комплект, менеджер пакетов вашего дистрибутива или загрузили источник phpMyAdmin самостоятельно, чтобы перейти в свою веб-корневую папку?

Начнем с проверки вкладки «Учетные записи пользователей», есть ли «Любой» пользователь? Каковы глобальные привилегии для этого пользователя? Имеет ли эта учетная запись какие-либо привилегии для конкретной базы данных? Перейдите в одну из уязвимых баз данных, используйте вкладку «Привилегии», чтобы узнать, имеет ли этот пользователь доступ.

Проверьте основную страницу, чтобы узнать, в какой учетной записи пользователя вы вошли в систему, как указано в разделе «Сервер базы данных». Попробуйте войти в систему как отдельный пользователь и посмотрите, не изменилась ли отображаемая информация.

Попробуйте подключиться к клиенту командной строки, чтобы узнать, можете ли вы редактировать строки там.