Minhas formas atuais de proteger o PHPmyadmin (PMA), particularmente contra ataques de força bruta (BFAs) em meu ubuntu-nginx-httpsambiente, são uma ou mais destas:
1) Alterar a localização do diretório PMA para algo com fio e difícil de adivinhar.
2) Faça login a partir de um IP permanente.
3) Faça login por meio de uma VPN reconhecida ( esta é uma edição devido aos comentários abaixo ).
4) Executar o PMA temporariamente em uma tmuxsessão separada:
cat <<-"PHPMYADMIN" > /opt/pma.sh
#!/bin/bash
find /var/www/html -iname '*phpmyadmin*' -exec rm -rf {} \;
cd /var/www/html && wget https://www.phpmyadmin.net/downloads/phpMyAdmin-latest-all-languages.zip
find /var/www/html -type f -iname '*phpmyadmin*.zip' -exec unzip {} \;
find /var/www/html -type d -iname 'phpmyadmin-*' -exec mv {} phpmyadmin \;
sleep 2h
find /var/www/html -iname '*phpmyadmin*' -exec rm -rf {} \;
tmux kill-session
PHPMYADMIN
chmod +x /opt/pma.sh
cat <<-"BASHRC" >> /etc/bash.bashrc
alias pma="tmux new-session -d 'bash /opt/pma.sh'"
BASHRC
source /etc/bash.bashrc
então:
pma # execute script and use pma for 2 hours.
Por que não me sinto confortável usando essas formas
E se alguém encontrar o caminho PMA não intuitivo com fio, ele ainda pode tentar forçar isso.
Eu não posso pagar isso. Às vezes, posso mudar de apartamento.
Esta pode ser uma boa opção, embora possa ser esmagadora para esse propósito (não tenho outros usos de VPN nesta época).
Este script é bastante pesado e alonga o já muito longo script Nginx Server Environment Setup (NSES) que eu uso.
Minha pergunta
O que mais me resta para proteger o PMA do ataque de força bruta em meu ubuntu-nginx-httpsambiente?
A documentação tem uma seção sobre " Protegendo sua instalação do phpMyAdmin " à qual você deve consultar para mais detalhes.
Meus favoritos:
* 4.8.0 ainda não foi lançado quando estou escrevendo isso, mas os instantâneos de desenvolvimento são geralmente bastante estáveis.