Ce site est optimisé pour être consulté depuis un navigateur moderne dans lequel JavaScript est activé.

PHPMyAdmin et sécurité, ou MySQL en console ?

Mornagest

Salut tout le monde,

Je suis très néophyte sur la question des serveurs, donc, par avance, désolé si j'emploie des termes inadaptés ou si je pose des questions qui peuvent paraître idiotes...

Je souhaiterais faire quelques modifications dans la base de données de notre forum. J'explique pourquoi afin de rendre ma demande plus claire.

Nous avons une sorte d'encyclopédie contenant environ 4000 articles dédiés à la saga Baldur's Gate, et cette encyclopédie a été rédigée essentiellement par 4 membres de notre forum. Seulement, deux d'entre eux sont partis il y a quelques années, en demandant au passage que leur compte utilisateur soit détruit. Dont acte.

Le souci, c'est que les articles qu'ils ont rédigés sont désormais créés par... personne... et cela crée un bug dans le moteur du forum, car sur ces articles et uniquement ceux-là, on ne peut insérer d'HTML. Pas de chance, je souhaitais intégrer des tableaux un poil plus complexes que ce que le BBCode permet (fusion de lignes/colonnes, etc).

La solution serait donc de modifier la table de données des articles incriminés et de leur allouer un compte utilisateur (un des deux membres s'est depuis réinscrit, cela permet déjà de lui attribuer la paternité des articles, et c'est ceux-là que je dois modifier, ça tombe bien !).

Malheureusement, je ne sais pas faire ça via la console MySQL et je pensais installer PHPMyAdmin pour cela. Sauf que les applications graphiques sont sources d'attaques en tous genres, et je lis dans la doc qu'il faut que fail2ban soit mis en place, par exemple...

Y a-t-il des gros écueils à éviter ? Puis-je tenter de me passer de PHPMyAdmin et bidouiller en console, en admettant que je puisse a minima me déplacer dans les tables (je sais laquelle modifier) et modifier quelques valeurs ? Si oui, comment faire pour me promener comme si je faisais un simple cd dans mes fichiers ?

En espérant que ma demande soit claire.

Merci d'avance pour vos réponses :cool:

krodelabestiole

la doc pour mysql est là : https://doc.ubuntu-fr.org/mysql#quelques_requetes_sql

sinon tu peux éventuellement installer phpmyadmin ou adminer (plus simple) et ne l'autoriser que pour ton IP, ou le mettre dans un sous répertoire au nom complexe que tu peux par ex. générer avec :

cat /dev/urandom | tr -dc 'a-zA-Z0-9' | fold -w 32 | head -n 1 | sed 's/$/_mysqlAdmin/'

ce qui donne par ex. :

MnJrP4nrcpjkL5JddZlVjoFasdotwQue_mysqlAdmin

si tu ne communiques pas du tout cette URL, ton interface ne sera pas attaquée.

Mornagest

Salut et merci pour ta réponse 🙂

L'idée de n'autoriser que mon IP m'intéresse bien. Si j'ai bien compris ce que j'ai trouvé sur le Net, il suffit d'ajouter, dans /etc/apache2/conf.d/phpmyadmin.conf, les lignes

Order Deny,Allow
Deny from All
Allow from 123.123.123.123

puis redémarrer apache 2 comme suit : sudo service apache2 restart

J'ai une question : j'imagine que je peux déjà restreindre l'IP AVANT d'installer PHPMyAdmin, histoire d'être sûr qu'on ne vienne pas me pourrir entretemps ?

Encore merci ! 🙂

Alex10336

krodelabestiole a écritla doc pour mysql est là : https://doc.ubuntu-fr.org/mysql#quelques_requetes_sql

sinon tu peux éventuellement installer phpmyadmin ou adminer (plus simple) et ne l'autoriser que pour ton IP, ou le mettre dans un sous répertoire au nom complexe que tu peux par ex. générer avec :
cat /dev/urandom | tr -dc 'a-zA-Z0-9' | fold -w 32 | head -n 1 | sed 's/$/_mysqlAdmin/'
ce qui donne par ex. :
MnJrP4nrcpjkL5JddZlVjoFasdotwQue_mysqlAdmin
si tu ne communiques pas du tout cette URL, ton interface ne sera pas attaquée.

Désole du HS, mais @krodelabestiole, merci pour le:

cat /dev/urandom | tr -dc 'a-zA-Z0-9' | fold -w 32 | head -n 1

Intéressant 🙂

Mornagest

OK, finalement, j'ai pu recevoir de l'aide sur le forum officiel du moteur de notre forum, et j'ai pu effectuer les requêtes pour modifier l'identifiant de l'auteur de l'article. Ça fonctionne donc 🙂

Merci pour vos réponses :cool: