Adminer — лёгкий веб-интерфейс для управления базами данных. Но если оставить его без защиты, это может стать открытой уязвимостью. В статье показали, как настроить доступ, чтобы исключить вмешательство извне.
Управление базой данных через веб-интерфейс часто ассоциируется с громоздкими инструментами, однако Adminer предлагает более простое решение. Однако именно эта простота таит в себе и риски. Если оставить Adminer как есть, то доступ к управлению базой может получить кто угодно. В статье рассказали, как настроить Adminer для безопасного управления базой данных.
Аренда VPS/VDS от 219 руб/месяц
Преимущества VPS в AdminVPS:
✓ Бесплатное администрирование
✓ Только быстрые NVMe-диски
✓ Защита от DDoS-атак
✓ Быстрая техподдержка
Аренда VPS/VDS виртуального сервера от AdminVPS — это прозрачная и честная услуга с доступной ценой
Как работает Adminer и почему его нужно изолировать
Adminer — это интерфейс к вашей базе данных, работающий через браузер. Запуская его, вы фактически открываете дверцу к базе: зная правильные ключи (учётные данные), можно зайти и делать с базой почти всё что угодно. Проблема в том, что эту дверцу могут найти другие. Известны случаи, когда хакеры сканировали сайты в Интернете в поисках незащищённых файлов adminer.php и, обнаружив их, подключались к базе данных жертвы.
Разработчики Adminer уделяют безопасности особое внимание и советуют не оставлять Adminer в открытом доступе. По умолчанию Adminer не позволяет подключаться к базе без пароля и даже ограничивает частоту попыток входа, чтобы затруднить перебор паролей. Но этого недостаточно. Далее расскажем об установке и дополнительных мерах защиты Adminer.
Установка Adminer на сервер (пример для Linux)
Предположим, у вас уже есть сервер на Linux с настроенным веб-сервером и сама база данных (MySQL, MariaDB или другая). Процесс установки сводится к получению единственного файла Adminer и размещению его в каталог на вашем сервере.
Шаг 1. Установка Adminer. Самый простой способ — зайти на официальный сайт проекта Adminer и скачать актуальную версию скрипта. Файл обычно называется вроде adminer-4.x.x.php, где 4.x.x — номер версии. Для удобства можно сразу переименовать его во что-то более простое, например adminer.php или index.php. Если вы работаете через терминал, это делается командой wget. Например, для последней версии на текущий день:
mkdir /var/www/html/adminer # создаём папку для Adminer
wget https://www.adminer.org/latest.php -O /var/www/html/adminer/index.phpПервая команда создаёт каталог adminer в директории сайта. Здесь предполагается стандартный путь для Apache /var/www/html. Вторая команда скачивает скрипт и сохраняет его под именем index.php в эту папку.
Шаг 2. Доступность файла через веб. Удостоверьтесь, что веб-сервер обслуживает новый каталог. Для Apache, как правило, достаточно поместить файл в папку внутри html. Для Nginx может потребоваться настроить location для /adminer/. После этого Adminer будет доступен по адресу вроде http://ваш-домен/adminer/ или http://IP-адрес/adminer/. Если вы переименовали файл в index.php и поместили в папку, можно просто зайти по пути /adminer/ — откроется форма входа Adminer.
Шаг 3. Проверка работоспособности. Зайдите на указанный URL. Откроется форма входа Adminer, где можно выбрать тип СУБД (MySQL, PostgreSQL и др.), указать сервер (обычно localhost), имя пользователя, пароль и имя базы данных. Если вы это видите, значит установка прошла успешно. Далее необходимо ввести параметры доступа к базе, чтобы попасть в интерфейс управления.
На этом базовая установка завершена. Но важно понимать: на данном этапе эта страница доступна всему миру, поэтому останавливаться на установке нельзя.
Перед тем как перейти к настройкам безопасности, убедитесь, что вы используете самую последнюю версию Adminer. Разработчики регулярно выпускают обновления, закрывающие уязвимости.
Ограничение доступа к Adminer
На этом шаге наша задача — ограничить круг лиц, которые могут даже попытаться войти в Adminer. Сделаем это сразу несколькими методами, которые можно и нужно комбинировать.
Ограничение по IP
Самый эффективный способ закрыть доступ посторонним — разрешить открывать Adminer только с определённых IP-адресов. Например, вы администрируете базу данных из офиса или из дома, где у вас статичный IP. Настроив фильтр, вы сделаете так, что только с вашего IP можно зайти на страницу Adminer, а все остальные попытки будут отклоняться автоматически.
Есть два уровня защиты: файрвол сервера и настройки веб-сервера. Если у вас есть административный доступ к серверу, можно использовать брандмауэр и просто закрыть внешний доступ к пути /adminer или порту, если Adminer вынесен на отдельный виртуальный хост. Однако более простое решение — воспользоваться настройками самого веб-сервера.
Apache
Можно создать (или отредактировать) файл .htaccess в каталоге с Adminer. Туда добавляются директивы, разрешающие или запрещающие доступ по IP. Пример настройки в .htaccess:
Require ip 203.0.113.5
Require ip 203.0.113.6
Require all deniedВ этом примере разрешены два условных IP (203.0.113.5 и 203.0.113.6), а всем остальным выдаётся отказ. Аналогичные правила можно прописать и в конфигурации виртуального хоста Apache.
Nginx
Настраивается секция location для пути /adminer. Внутри неё указываются директивы allow и deny.
Например:
location /adminer {
allow 203.0.113.5;
allow 203.0.113.6;
deny all;
...
}Такая конфигурация позволит заходить на /adminer только с перечисленных адресов. Все иные запросы Nginx будет отвергать, отдавая код 403 Forbidden. В документации отмечено, что ограничение доступа по IP существенно повышает безопасность Adminer, ведь злоумышленник, находясь неизвестно где, физически не сможет даже увидеть вашу форму входа.
Если у вас динамический IP или вы работаете из разных мест, IP-ограничение усложняется. Один из вариантов — подключаться к своему серверу через VPN, получая тем самым локальный IP, который можно внести в белый список. Если это не подходит или вам часто нужен доступ с разных устройств и сетей, тогда сделайте упор на следующие способы защиты. Если вам нужен надежный VPN, оптимальным решением будет аренда VPS для VPN.
Базовая авторизация (дополнительный пароль)
Второй рубеж обороны — это дополнительная авторизация на уровне веб-сервера. Смысл в том, чтобы при попытке открыть Adminer браузер сначала запросил отдельный логин и пароль. Только предъявив эти корректные данные, пользователь увидит сам интерфейс Adminer.
Apache
В Apache удобно воспользоваться файлом .htaccess. Потребуется сгенерировать файл паролей, например, с помощью утилиты htpasswd, в нём будет храниться хеш пароля. После этого в .htaccess добавить примерно следующее:
AuthType Basic
AuthName "Adminer Protected"
AuthUserFile "/var/www/html/adminer/.htpasswd"
Require valid-userЭти строки означают, что для доступа требуется базовая авторизация, имя области — Adminer Protected, файл с разрешёнными пользователями и паролями лежит по указанному пути, и доступ разрешён только аутентифицированным пользователям. В результате при обращении к /adminer/ пользователь увидит всплывающее окно ввода логина и пароля.
Nginx
В Nginx базовая авторизация настраивается директивой auth_basic. Например, внутри location /adminer можно добавить:
auth_basic "Adminer Protected";
auth_basic_user_file /path/to/.htpasswd;Принцип тот же: сначала Nginx запросит учётные данные. Настоятельно рекомендуем использовать логин и пароль, не совпадающие с учётными данными от самой базы данных.
Adminer из коробки не имеет собственной системы пользователей, он полагается на учётные записи самой базы данных. Добавление базовой авторизации значительно повышает безопасность при минимальных усилиях.
Перемещение Adminer в отдельный каталог
Adminer лучше не держать прямо в корне сайта. Безопаснее переместить его в отдельную папку, например, /adminer/ или даже в более нестандартное место вроде /tools/db/index.php. Это усложнит доступ посторонним и затруднит автоматическое сканирование.
Это действие упрощает организацию: админские инструменты хранятся отдельно, и их можно защищать отдельно базовой авторизацией, ограничением по IP и прочими мерами. Некоторые админы идут дальше и выносят Adminer за пределы папки сайта, подгружая его через настройки веб-сервера. Это сложнее, но и безопаснее. Если пока не хотите углубляться, просто уберите adminer.php из корня и не забудьте включить защиту.
Переименование скрипта Adminer
По умолчанию файл имеет предсказуемое имя, например, adminer.php. Иногда его называют index.php и размещают в папке с названием adminer. Люди, которые занимаются сканированием серверов, знают об этом и могут специально искать такие имена. Поэтому лучше переименовать файл, чтобы он не привлекал лишнего внимания. Важно, чтобы в названии не было слов, вроде admin или db, которые сразу выдают назначение файла.
Если вы используете нестандартное имя и размещаете файл в неочевидной папке, это затруднит поиск. Обычные сканеры, перебирающие типовые адреса, вряд ли его найдут. Само по себе переименование не даёт защиты, но усложняет массовые автоматические атаки, но оно создаст дополнительный барьер от массовых автоматических атак. Такие атаки часто проходят по шаблону и запрашивают один и тот же адрес adminer.php на множестве сайтов. Если ваш скрипт называется иначе, он не попадёт в список совпадений. А вы при этом точно знаете адрес и спокойно заходите, когда нужно.
Комбинирование мер
Важно понять, что перечисленные меры лучше работают вместе. Нет смысла полагаться только на смену имени или только на пароль. Максимально безопасный подход такой: Adminer лежит в отдельной папке с непредсказуемым именем, доступ к этой папке разрешён только с вашего IP и защищён дополнительным паролем. В таком случае вероятность взлома сводится к минимуму.
Не забывайте также базовое правило: пароли от базы данных должны быть сложными. И лучше, чтобы вы входили под учёткой с ограниченными правами, например, не под root, а под пользователем, которому разрешено только то, что нужно. Даже в случае компрометации системы, потенциальный ущерб будет минимальным.
Настройка SSL для безопасного соединения
Когда вы заходите в Adminer, вы передаёте данные, которые не должны попасть в чужие руки: логин и пароль от базы, SQL-запросы и содержимое таблиц. Если соединение не зашифровано и работает по обычному HTTP, эти данные легко перехватить. Особенно это опасно, если вы подключаетесь через публичную или скомпрометированную сеть. Чтобы исключить такой риск, доступ к Adminer должен быть строго по HTTPS.
Если в адресной строке вы видите http вместо https и браузер пишет, что подключение не защищено, нужно срочно настраивать SSL.
При аренде VPS у хостера AdminVPS вы получаете бесплатный SSL-сертификат на год и доступ к комплексу опций «Всё включено» для комфортной настройки сервера.
SSL-сертификат можно получить бесплатно через Let's Encrypt или установить через панель управления на сервере. На хостинге всё часто сводится к нажатию одной кнопки. Если вы работаете с сервером напрямую, то в Apache потребуется включить модуль SSL и задать конфигурацию виртуального хоста на порт 443. В Nginx — прописать параметры для ssl_certificate и ssl_certificate_key и слушать тот же порт.
Подробнее о выпуске SSL-сертификата читайте в отдельной статье.
Изолированная среда
Дополнительную защиту даёт изоляция интерфейса администрирования базы от основного сервера. Лучше, если Adminer будет размещён не на том же сервере, где работает сайт. Это особенно важно в случае компрометации сайта. Если злоумышленник получил к нему доступ, а Adminer находится рядом, путь к базе данных уже открыт. А вот если Adminer вынесен в отдельную среду, взлом сайта не даёт прямого доступа к инструменту управления базой.
На практике это реализуется через отдельный VPS, где развёрнут только Adminer и настроено подключение к основной базе. Доступ к такому серверу можно ограничить через VPN, фильтрацию по IP, защиту по паролю и шифрование трафика. Главное, что физическое разделение окружений создаёт дополнительный барьер. Даже если кто-то узнает адрес Adminer, подключиться к базе он сможет только с разрешённого IP.
Такой подход требует чуть больше усилий, но для проектов с важными данными он вполне оправдан. Вы управляете базой в изолированной среде, а на основном сервере нет открытого интерфейса администрирования.
Итоги
Adminer — удобный инструмент для управления базами данных, но без правильной настройки он становится слабым звеном в безопасности сервера. Чтобы этого не произошло, важно ограничить доступ по IP, добавить дополнительную авторизацию, использовать шифрованное соединение и скрыть расположение скрипта. Чем раньше вы настроите защиту, тем спокойнее будете работать с базами данных, не отвлекаясь на угрозы.
Читайте в блоге:
- Как работает дедупликация данных и зачем она нужна
- Сеть под контролем: защита данных и удалённый доступ с помощью VPN
- Дамп базы данных: что это и зачем нужен
