web-dev-qa-db-fra.com

Un enregistrement DNS global représente-t-il un risque pour phpMyAdmin?

Des services comme phpMyadmin ont besoin d'un nom de domaine pour y accéder. Au lieu d'ajouter un enregistrement DNS global, on pourrait créer un enregistrement DNS local (par exemple dans /etc/hosts) pour accéder au site.

Cela augmenterait-il la sécurité si aucun enregistrement DNS global n'était effectué, si l'on suppose que d'autres mesures de sécurité typiques (HTTPS, authentification par mot de passe, etc.) sont en place?

web-applicationdnsnetwork-access-control
12
Arun Killu

Cela pourrait être qualifié de "sécurité par l'obscurité" et offre peu ou pas de protection.

Le fichier/etc/hosts n'est PAS DNS; c'est le précurseur du DNS et n'importe qui peut y changer ses propres enregistrements.

Un nom de domaine est principalement destiné à un usage humain ... l'ordinateur va simplement le convertir en une adresse IP et l'utiliser (et envoyer le nom d'hôte avec lui dans HTTP 1.1+). Bien que le nom de domaine ait une fonction dans les configurations d'hôte virtuel, il ne fait pas partie d'une défense de sécurité.

Pour augmenter la sécurité, pensez à ajouter l'un des éléments suivants:

  • Liste blanche IP de votre propre IP et liste noire toutes les autres
  • Fournisseur de connexion externe via oAuth/SAML. (Comme le système de connexion de Google)
  • Utiliser des certificats côté client pour autoriser l'accès

Tous ces éléments amélioreraient la sécurité du moins au plus, mais aussi du plus facile au plus difficile.

29
LvB

Non, cela n'augmenterait pas la sécurité. Un attaquant pourrait toujours se connecter à phpMyAdmin s'il connaissait le domaine et l'IP, indépendamment de l'existence d'un enregistrement DNS pour celui-ci. Par exemple, ils pourraient mettre les informations dans leur propre fichier d'hôtes.

8
Jenessa

Cela minimiserait la surface d'attaque, cependant, comme d'autres affiches l'ont dit - c'est "la sécurité par l'obscurité" qui pourrait être une partie de votre ligne de défense mais pas la seule.

La réduction de la surface d'attaque ne fonctionne que si c'est un hôte virtuel, sinon l'attaquant et ses scripts trouveront notre installation phpmyadmin lors de l'analyse de toutes les IP avec/phpMyAdmin ajouté.

Vous pouvez également changer le port par défaut de 80/443 en un port aléatoire pour réduire davantage la surface d'attaque et minimiser le changement. Des analyses simples trouveront votre installation phpmyadmin.

De meilleures solutions:

  • investir du temps dans une liste blanche IP
  • utiliser un VPN direct sur votre serveur
  • ou un tunnel SSH
  • .htaccess

Le plus important: effectuez des mises à jour logicielles et choisissez des mots de passe longs/sécurisés.

Comme vous le mentionnez HTTPS. C'est pour crypter votre trafic afin que personne ne puisse espionner votre connexion. Cela ne rend pas phpmyadmin plus sûr!

0
Fritz