如何在Ubuntu18.04上安装和保护phpMyAdmin

介绍

虽然许多用户需要 MySQL 等数据库管理系统的功能，但他们可能不喜欢仅从 MySQL 命令行客户端与系统交互。

创建 phpMyAdmin 是为了让用户可以通过 Web 界面与 MySQL 进行交互。在本指南中，我们将讨论如何安装和保护 phpMyAdmin，以便您可以安全地使用它来管理 Ubuntu 18.04 系统上的数据库。

先决条件

要完成本教程，您将需要以下内容：

运行 Ubuntu 18.04 的服务器。此服务器应该有一个非 root 管理用户，具有 sudo 权限，以及配置了 UFW 的防火墙。要进行此设置，请按照我们的 Ubuntu 18.04 初始服务器设置指南进行操作。
安装在您的服务器上的 LAMP 堆栈。您可以按照在 Ubuntu 18.04 上安装 LAMP 堆栈的指南进行设置。

最后，在使用像 phpMyAdmin 这样的软件时，还有一些重要的安全注意事项，因为它：

直接与您的 MySQL 安装进行通信
使用 MySQL 凭据处理身份验证
执行并返回任意 SQL 查询的结果

由于这些原因，并且因为它是一个广泛部署的 PHP 应用程序，并且经常成为攻击的目标，所以您永远不应该通过普通的 HTTP 连接在远程系统上运行 phpMyAdmin。如果您没有配置 SSL/TLS 证书的现有域，则可以按照在 Ubuntu 18.04 上使用 Let's Encrypt 保护 Apache 的指南进行操作。这将需要您注册一个域名，为您的服务器创建DNS记录，并且设置一个Apache虚拟主机。

完成这些步骤后，您就可以开始使用本指南了。

第 1 步 — 安装 phpMyAdmin

首先，我们将从默认的 Ubuntu 存储库安装 phpMyAdmin。

首先，更新服务器的包索引：

sudo apt update

然后使用 apt 下载文件并将它们安装到您的系统上：

sudo apt install phpmyadmin php-mbstring php-gettext

这将询问您几个问题，以便正确配置您的安装。

'警告： 出现提示时，“apache2”高亮显示，但未选择'。要选择 Apache，请点击 SPACE、TAB，然后点击 ENTER。

如果您没有点击 SPACE 选择 Apache，安装程序将在安装过程中 not 移动必要的文件。

对于服务器选择，选择 apache2
询问是否使用dbconfig-common建库时选择Yes
然后将要求您选择并确认 phpMyAdmin 的 MySQL 应用程序密码

安装过程将 phpMyAdmin Apache 配置文件添加到 /etc/apache2/conf-enabled/ 目录中，自动读取。您唯一需要做的就是显式启用 mbstring PHP 扩展，您可以通过键入：

sudo phpenmod mbstring

之后，重新启动 Apache 以识别您的更改：

sudo systemctl restart apache2

phpMyAdmin 现在已安装和配置。但是，在您可以登录并开始与 MySQL 数据库交互之前，您需要确保您的 MySQL 用户具有与程序交互所需的权限。

第 2 步 — 调整用户身份验证和权限

当您将 phpMyAdmin 安装到您的服务器上时，它会自动创建一个名为 phpmyadmin 的数据库用户，该用户为程序执行某些底层进程。建议您以 root MySQL 用户或专用于通过 phpMyAdmin 界面管理数据库的用户身份登录，而不是使用您在安装期间设置的管理密码以该用户身份登录。

为 MySQL 根帐户配置密码访问

在运行 MySQL 5.7（及更高版本）的 Ubuntu 系统中，root MySQL 用户默认设置为使用 auth_socket 插件进行身份验证，而不是使用密码。这在许多情况下允许更高的安全性和可用性，但是当您需要允许外部程序（如 phpMyAdmin）访问用户时，它也会使事情变得复杂。

为了以您的 root MySQL 用户身份登录 phpMyAdmin，如果您还没有这样做，您需要将其身份验证方法从 auth_socket 切换到 mysql_native_password。为此，请从终端打开 MySQL 提示符：

sudo mysql

接下来，使用以下命令检查每个 MySQL 用户帐户使用的身份验证方法：

SELECT user,authentication_string,plugin,host FROM mysql.user;

Output+------------------+-------------------------------------------+-----------------------+-----------+
| user             | authentication_string                     | plugin                | host      |
+------------------+-------------------------------------------+-----------------------+-----------+
| root             |                                           | auth_socket           | localhost |
| mysql.session    | *THISISNOTAVALIDPASSWORDTHATCANBEUSEDHERE | mysql_native_password | localhost |
| mysql.sys        | *THISISNOTAVALIDPASSWORDTHATCANBEUSEDHERE | mysql_native_password | localhost |
| debian-sys-maint | *8486437DE5F65ADC4A4B001CA591363B64746D4C | mysql_native_password | localhost |
| phpmyadmin       | *5FD2B7524254B7F81B32873B1EA6D681503A5CA9 | mysql_native_password | localhost |
+------------------+-------------------------------------------+-----------------------+-----------+
5 rows in set (0.00 sec)

在此示例中，root 用户实际上使用 auth_socket 插件进行身份验证。要配置 root 帐户以使用密码进行身份验证，请运行以下 ALTER USER 命令。请务必将 password 更改为您选择的强密码：

ALTER USER 'root'@'localhost' IDENTIFIED WITH mysql_native_password BY 'password';

然后，运行 FLUSH PRIVILEGES 告诉服务器重新加载授权表并使您的新更改生效：

FLUSH PRIVILEGES;

再次检查每个用户使用的身份验证方法，以确认 root 不再使用 auth_socket 插件进行身份验证：

SELECT user,authentication_string,plugin,host FROM mysql.user;

Output+------------------+-------------------------------------------+-----------------------+-----------+
| user             | authentication_string                     | plugin                | host      |
+------------------+-------------------------------------------+-----------------------+-----------+
| root             | *DE06E242B88EFB1FE4B5083587C260BACB2A6158 | mysql_native_password | localhost |
| mysql.session    | *THISISNOTAVALIDPASSWORDTHATCANBEUSEDHERE | mysql_native_password | localhost |
| mysql.sys        | *THISISNOTAVALIDPASSWORDTHATCANBEUSEDHERE | mysql_native_password | localhost |
| debian-sys-maint | *8486437DE5F65ADC4A4B001CA591363B64746D4C | mysql_native_password | localhost |
| phpmyadmin       | *5FD2B7524254B7F81B32873B1EA6D681503A5CA9 | mysql_native_password | localhost |
+------------------+-------------------------------------------+-----------------------+-----------+
5 rows in set (0.00 sec)

此输出表明 root 用户将使用密码进行身份验证。您现在可以使用您在此处设置的密码以 root 用户身份登录 phpMyAdmin 界面。

为专用 MySQL 用户配置密码访问

或者，有些人可能会发现使用专用用户连接到 phpMyAdmin 更适合他们的工作流程。为此，再次打开 MySQL shell：

sudo mysql

注意： 如果您启用了密码验证，如上一节所述，您将需要使用不同的命令来访问 MySQL shell。以下将以常规用户权限运行您的 MySQL 客户端，并且您只能通过身份验证获得数据库内的管理员权限：

mysql -u root -p

从那里，创建一个新用户并给它一个强密码：

CREATE USER 'sammy'@'localhost' IDENTIFIED BY 'password';

然后，授予您的新用户适当的权限。例如，您可以使用以下命令授予用户对数据库中所有表的权限，以及添加、更改和删除用户权限的权力：

GRANT ALL PRIVILEGES ON *.* TO 'sammy'@'localhost' WITH GRANT OPTION;

之后，退出 MySQL shell：

exit

您现在可以通过访问您的服务器的域名或公共 IP 地址后跟 /phpmyadmin 来访问 Web 界面：

http://your_domain_or_IP/phpmyadmin

以 root 身份或使用刚刚配置的新用户名和密码登录界面。

当您登录时，您将被带到 phpMyAdmin 用户界面：

现在您可以连接并与 phpMyAdmin 交互，剩下要做的就是加强系统的安全性以保护它免受攻击者的侵害。

第 3 步 — 保护您的 phpMyAdmin 实例

由于其无处不在，phpMyAdmin 是攻击者的热门目标，您应格外小心以防止未经授权的访问。最简单的方法之一是使用 Apache 内置的 .htaccess 身份验证和授权功能在整个应用程序前面放置一个网关。

为此，您必须首先通过编辑 Apache 配置文件启用 .htaccess 文件覆盖。

使用您喜欢的文本编辑器编辑已放置在 Apache 配置目录中的链接文件。此示例使用 nano：

sudo nano /etc/apache2/conf-available/phpmyadmin.conf

在配置文件的 <Directory /usr/share/phpmyadmin> 部分中添加 AllowOverride All 指令，如下所示：

/etc/apache2/conf-available/phpmyadmin.conf

<Directory /usr/share/phpmyadmin>
    Options FollowSymLinks
    DirectoryIndex index.php
    AllowOverride All
    . . .

添加此行后，保存并关闭文件。如果您使用 nano 编辑文件，请按 CTRL + X、Y，然后按 ENTER。

要实施您所做的更改，请重新启动 Apache：

sudo systemctl restart apache2

现在您已经为您的应用程序启用了 .htaccess 使用，您需要创建一个 .htaccess 文件来实际实现一些安全性。

为了成功，必须在应用程序目录中创建该文件。您可以创建必要的文件并在您的文本编辑器中通过键入以下命令以 root 权限打开它：

sudo nano /usr/share/phpmyadmin/.htaccess

在此文件中，输入以下信息：

/usr/share/phpmyadmin/.htaccess

AuthType Basic
AuthName "Restricted Files"
AuthUserFile /etc/phpmyadmin/.htpasswd
Require valid-user

以下是每一行的含义：

AuthType Basic：此行指定您正在实施的身份验证类型。此类型将使用密码文件实现密码验证。
AuthName：设置验证对话框的消息。您应该保持此通用性，以便未经授权的用户不会获得有关受保护内容的任何信息。
AuthUserFile：设置将用于身份验证的密码文件的位置。这应该在所服务的目录之外。我们将很快创建此文件。
Require valid-user：这指定只有经过身份验证的用户才能访问此资源。这实际上是阻止未经授权的用户进入的原因。

完成后，保存并关闭文件。

您为密码文件选择的位置是 /etc/phpmyadmin/.htpasswd。您现在可以创建此文件并使用 htpasswd 实用程序将其传递给初始用户：

sudo htpasswd -c /etc/phpmyadmin/.htpasswd username

系统将提示您选择并确认您正在创建的用户的密码。之后，使用您输入的散列密码创建文件。

如果你想输入一个额外的用户，你需要这样做没有的-c标志，像这样：

sudo htpasswd /etc/phpmyadmin/.htpasswd additionaluser

现在，当您访问 phpMyAdmin 子目录时，系统将提示您输入刚刚配置的附加帐户名和密码：

https://domain_name_or_IP/phpmyadmin

输入 Apache 身份验证后，您将被带到常规的 phpMyAdmin 身份验证页面以输入您的 MySQL 凭据。此设置增加了额外的安全层，这是可取的，因为 phpMyAdmin 过去曾遭受过漏洞的困扰。

结论

您现在应该已配置好 phpMyAdmin 并准备好在您的 Ubuntu 18.04 服务器上使用。使用该界面，您可以轻松创建数据库、用户、表等，并执行删除和修改结构和数据等常用操作。