Каталог артыкулаў
Апошняе HestiaCP Гэта поўнае кіраўніцтва па ўсталёўцы Adminer уключае ў сябе этапы разгортвання ў адзін клік, павышэння бяспекі і аўтаматызаванай канфігурацыі. Яно крок за крокам навучыць вас разгортваць інструменты кіравання базамі дадзеных і абараняць ваш сервер, што дазваляе пачаткоўцам лёгка пачаць працу і вырашае праблемы эксплуатацыі і абслугоўвання HestiaCP + Adminer.
Калі вы ўсё яшчэ карыстаецеся інструментамі кіравання базамі дадзеных без якой-небудзь абароны, вы перадаеце ключы хакерам.
Чаму варта выбраць Adminer, а не... PhpMyAdmin?
Adminer складаецца з аднаго PHP-файла памерам менш за 1 МБ, што робіць разгортванне надзвычай простым, хуткім і рэсурсаэфектыўным.
У параўнанні са складанай структурай phpMyAdmin, Adminer больш падыходзіць для VPS, невялікіх вэб-сайтаў і асабістых праектаў.
Крокі па ўсталёўцы адміністратара ў HestiaCP
1. Запампуйце файл адміністратара
Перайсці да Афіцыйны сайт адміністратара Спампаваць апошнюю версію adminer.php.
Загрузіце файл у каталог вэб-сайта HestiaCP, напрыклад:
/home/username/web/adminer.domain.com/public_html/adminer.php
2. Стварыце паддамен і ўключыце SSL.
Дадайце паддамен у панэль HestiaCP adminer.domain.comУключыце Let's Encrypt SSL для забеспячэння бяспечнай перадачы.
3. Наладзьце абарону паролем Nginx
Дадайце наступны код у файл канфігурацыі Nginx для паддамена:
location / {
auth_basic "Restricted Area";
auth_basic_user_file /etc/nginx/.htpasswd;
root /home/username/web/adminer.domain.com/public_html;
index index.php adminer.php;
}
Згенераваць файл пароляў:
sudo apt-get install apache2-utils
sudo htpasswd -c /etc/nginx/.htpasswd adminuser
Пры доступе да адміністратара з'явіцца дыялогавае акно пароля, і вы зможаце ўвайсці ў сістэму, толькі ўвёўшы правільнае імя карыстальніка і пароль.
Аўтаматычнае абнаўленне файлаў адміністратара
Каб пазбегнуць рызык бяспекі, звязаных з выкарыстаннем старых версій, аўтаматычныя абнаўленні можна выканаць з дапамогай сцэнарыяў абалонкі і запланаваных задач Cron.
Прыклад скрыпта абнаўлення
#!/bin/bash
URL="https://www.adminer.org/latest.php"
TARGET="/home/username/web/adminer.domain.com/public_html/adminer.php"
wget -q -O "$TARGET" "$URL"
chown username:username "$TARGET"
chmod 644 "$TARGET"
Захаваць як /usr/local/bin/update-adminer.shІ дадайце запланаваную задачу:
crontab -e
0 3 * * 1 /usr/local/bin/update-adminer.sh
Такім чынам, файл адміністратара будзе аўтаматычна абнаўляцца кожны панядзелак а 3-й гадзіне ночы.
FaiАтака l2Ban метадам грубай сілы
Простая базавая аўтэнтыфікацыя ўразлівая да атак грубай сілы, у той час як Fail2Ban можа аўтаматычна блакаваць шкоднасныя IP-адрасы.
Канфігурацыя фільтра
дакумент:/etc/fail2ban/filter.d/nginx-adminer.conf
[Definition]
failregex = ^<HOST> - .* "GET /adminer.php HTTP/.*" 401
ignoreregex =
Канфігурацыя турмы (паступовае павелічэнне працягласці бана)
дакумент:/etc/fail2ban/jail.local
[nginx-adminer]
enabled = true
filter = nginx-adminer
port = http,https
logpath = /var/log/nginx/access.log
maxretry = 3
findtime = 600
bantime.increment = true
bantime.rndtime = 60
bantime.factor = 2
bantime = 600
Эфект: Першая бан-абарона дзейнічае 10 хвілін, другая — 20 хвілін, трэцяя — 40 хвілін і гэтак далей. Пастаянныя атакуючыя будуць бан-афішаваць на ўсё больш працяглыя перыяды.
Завяршыце скрыпт разгортвання адным пстрычкай мышы
Захаваць як /usr/local/bin/setup-fail2ban-adminer.sh:
#!/bin/bash
FILTER_PATH="/etc/fail2ban/filter.d/nginx-adminer.conf"
JAIL_PATH="/etc/fail2ban/jail.local"
cat > $FILTER_PATH << 'EOF'
[Definition]
failregex = ^<HOST> - .* "GET /adminer.php HTTP/.*" 401
ignoreregex =
EOF
cat >> $JAIL_PATH << 'EOF'
[nginx-adminer]
enabled = true
filter = nginx-adminer
port = http,https
logpath = /var/log/nginx/access.log
maxretry = 3
findtime = 600
bantime.increment = true
bantime.rndtime = 60
bantime.factor = 2
bantime = 600
EOF
systemctl restart fail2ban
fail2ban-client status nginx-adminer
рэалізаваць:
sudo chmod +x /usr/local/bin/setup-fail2ban-adminer.sh
sudo /usr/local/bin/setup-fail2ban-adminer.sh
Выснова: баланс паміж бяспекай і эфектыўнасцю
Я цвёрда перакананы, што інструменты кіравання базамі дадзеных — гэта не тое, што можна проста пакінуць у публічным інтэрнэце і спакойна выкарыстоўваць. Лёгкі дызайн Adminer прывабны, але меры бяспекі павінны ісці ў нагу з часам. Абарона паролем — гэта першая лінія абароны, аўтаматычныя абнаўленні забяспечваюць пастаянную абарону, а Fail2Ban прапануе інтэлектуальныя контрмеры. Толькі аб'яднаўшы гэтыя тры элементы, можна стварыць асяроддзе кіравання базамі дадзеных, якое з'яўляецца адначасова эфектыўным і бяспечным.
Сапраўдны майстар — гэта не той, хто толькі ўмее вырабляць інструменты, але і той, хто ўмее іх берагчы.
Блог Hope Chen Weiliang ( https://www.chenweiliang.com/ Артыкул «Усталёўка адміністратара HestiaCP: налады аўтаматызацыі бяспекі + аптымізацыя кіравання базамі дадзеных», прыведзены тут, можа быць вам карысным.
Запрашаем падзяліцца спасылкай на гэты артыкул:https://www.chenweiliang.com/cwl-34018.html