התקנת Admin ב-HestiaCP: הגדרת אבטחה אוטומטית + אופטימיזציה של ניהול מסד נתונים

Lessations HestiaCP מדריך מלא זה להתקנת Adminer כולל פריסה בלחיצה אחת, הקשחת אבטחה ושלבי תצורה אוטומטיים. הוא מלמד אותך שלב אחר שלב כיצד לפרוס כלי ניהול מסדי נתונים ולהגן על השרת שלך, מה שמקל על מתחילים להתחיל במהירות ולפתור את נקודות הכאב של תפעול ותחזוקה של HestiaCP + Admin.

אם אתם עדיין משתמשים בכלי ניהול מסדי נתונים ללא כל הגנה, אתם מוסרים את המפתחות להאקרים.

למה לבחור במנהל במקום ב... phpMyAdmin?

Adminer מורכב מקובץ PHP יחיד בגודל של פחות מ-1MB, מה שהופך את הפריסה לפשוטה, מהירה וחסכונית ביותר במשאבים.

בהשוואה למבנה המורכב של phpMyAdmin, Adminer מתאים יותר לשרתים VPS, אתרים קטנים ופרויקטים אישיים.

שלבים להתקנת מנהל מערכת ב-HestiaCP

1. הורד את קובץ המנהל

לך ל אתר האינטרנט הרשמי של מנהל הורד את הגרסה האחרונה adminer.php.

העלה את הקובץ לתיקיית אתר האינטרנט של HestiaCP, לדוגמה:

/home/username/web/adminer.domain.com/public_html/adminer.php

2. צור תת-דומיין והפעל SSL.

הוסף תת-דומיין בפאנל HestiaCP adminer.domain.comהפעל את Let's Encrypt SSL כדי להבטיח העברה מאובטחת.

3. הגדרת הגנה באמצעות סיסמה של Nginx

הוסף את הפרטים הבאים לקובץ התצורה של Nginx עבור תת-הדומיין:

location / {
    auth_basic "Restricted Area";
    auth_basic_user_file /etc/nginx/.htpasswd;

    root /home/username/web/adminer.domain.com/public_html;
    index index.php adminer.php;
}

יצירת קובץ סיסמה:

sudo apt-get install apache2-utils
sudo htpasswd -c /etc/nginx/.htpasswd adminuser

בעת גישה למנהל המערכת, תופיע תיבת דו-שיח של סיסמה, ותוכל להתחבר רק על ידי הזנת שם המשתמש והסיסמה הנכונים.

עדכון אוטומטי של קבצי מנהל מערכת

כדי להימנע מסיכוני האבטחה הכרוכים בשימוש בגרסאות ישנות יותר, ניתן להשיג עדכונים אוטומטיים באמצעות סקריפטי מעטפת ומשימות מתוזמנות של Cron.

דוגמה לסקריפט עדכון

#!/bin/bash
URL="https://www.adminer.org/latest.php"
TARGET="/home/username/web/adminer.domain.com/public_html/adminer.php"

wget -q -O "$TARGET" "$URL"
chown username:username "$TARGET"
chmod 644 "$TARGET"

שמור בשם /usr/local/bin/update-adminer.shוהוסיפו משימה מתוזמנת:

crontab -e
0 3 * * 1 /usr/local/bin/update-adminer.sh

בדרך זו, קובץ המנהל יעודכן אוטומטית בכל יום שני בשעה 3 לפנות בוקר.

Fail2Ban מתקפת כוח ברוט-כוח

אימות בסיסי פשוט פגיע להתקפות כוח ברוט, בעוד ש-Fail2Ban יכול לחסום אוטומטית כתובות IP זדוניות.

תצורת מסנן

מסמך:/etc/fail2ban/filter.d/nginx-adminer.conf

[Definition]
failregex = ^<HOST> - .* "GET /adminer.php HTTP/.*" 401
ignoreregex =

תצורת בית סוהר (זמן חסימה מצטבר)

מסמך:/etc/fail2ban/jail.local

[nginx-adminer]
enabled  = true
filter   = nginx-adminer
port     = http,https
logpath  = /var/log/nginx/access.log
maxretry = 3
findtime = 600

bantime.increment = true
bantime.rndtime   = 60
bantime.factor    = 2
bantime           = 600

השפעה: האיסור הראשון הוא ל-10 דקות, השני ל-20 דקות, השלישי ל-40 דקות, וכן הלאה. תוקפים מתמשכים ייחסמו לתקופות ארוכות יותר ויותר.

סקריפט פריסה מלא בלחיצה אחת

שמור בשם /usr/local/bin/setup-fail2ban-adminer.sh:

#!/bin/bash
FILTER_PATH="/etc/fail2ban/filter.d/nginx-adminer.conf"
JAIL_PATH="/etc/fail2ban/jail.local"

cat > $FILTER_PATH << 'EOF'
[Definition]
failregex = ^<HOST> - .* "GET /adminer.php HTTP/.*" 401
ignoreregex =
EOF

cat >> $JAIL_PATH << 'EOF'

[nginx-adminer]
enabled  = true
filter   = nginx-adminer
port     = http,https
logpath  = /var/log/nginx/access.log
maxretry = 3
findtime = 600

bantime.increment = true
bantime.rndtime   = 60
bantime.factor    = 2
bantime           = 600
EOF

systemctl restart fail2ban
fail2ban-client status nginx-adminer

ליישם:

sudo chmod +x /usr/local/bin/setup-fail2ban-adminer.sh
sudo /usr/local/bin/setup-fail2ban-adminer.sh

סיכום: איזון בין בטיחות ליעילות

אני מאמין בתוקף שכלי ניהול מסדי נתונים אינם משהו שאפשר פשוט להשאיר באינטרנט הציבורי ולהשתמש בו בראש שקט. העיצוב הקליל של Adminer מושך, אך אמצעי האבטחה חייבים לעמוד בקצב. הגנה באמצעות סיסמה היא קו ההגנה הראשון, עדכונים אוטומטיים מספקים הגנה מתמשכת, ו-Fail2Ban מציע אמצעי נגד חכמים. רק על ידי שילוב שלושת האלמנטים הללו ניתן ליצור סביבת ניהול מסדי נתונים שהיא גם יעילה וגם מאובטחת.

אומן אמיתי הוא לא רק מישהו שיודע איך לבנות כלים, אלא מישהו שיודע איך להגן עליהם.