Contenu | Rechercher | Menus

Annonce

Si vous avez des soucis pour rester connecté, déconnectez-vous puis reconnectez-vous depuis ce lien en cochant la case
Me connecter automatiquement lors de mes prochaines visites.

À propos de l'équipe du forum.

#1 Le 08/10/2016, à 05:48

bilugeek

Fichier config.inc.php de phpmyadmin problème de sécurité

Bonjour,

Renseigné le mot de passe root en clair dans le fichier conf de phpmyadmin ne constitue t-il pas un probleme de sécurité?

Ce fichier (config.inc.php) n'est-il pas accessible ?

Merci de bien vouloir me répondre

Hors ligne

#2 Le 08/10/2016, à 07:05

gl38

Re : Fichier config.inc.php de phpmyadmin problème de sécurité

L’utilisateur root de mysql n'est pas le même que celui du système, il n'y a donc pas lieu qu'ils aient le même mot de passe.
Ensuite dans les dernières versions de phpMyAdmin (4.6.4) ce mot de passe n'est pas stocké ni en clair ni codé. Il est gardé dans un cookie du navigateur, cookie que l'on peut effacer en quittant le navigateur.
Cordialement,
Guy

Hors ligne

#3 Le 08/10/2016, à 07:09

bilugeek

Re : Fichier config.inc.php de phpmyadmin problème de sécurité

Le mot de passe est renseigné dans le fichier config.inc.php à la ligne $cfg['Servers'][$i]['password'] = ''; ou pas?

Hors ligne

#4 Le 08/10/2016, à 07:21

jplemoine

Re : Fichier config.inc.php de phpmyadmin problème de sécurité

En 14.04 comme en 16.04, je n'ai pas cette ligne...


Membre de l'ALDIL (Association Lyonnaise pour le Développement de l'Informatique Libre)
- En pro, après 20 ans de développement, administrateur Linux / Unix depuis Avril 2019.
- En privé, sous Ubuntu-Xubuntu depuis 2009.

Hors ligne

#5 Le 08/10/2016, à 07:27

bilugeek

Re : Fichier config.inc.php de phpmyadmin problème de sécurité

Je suis en Version 4.5.2 de phpmyadmin sous 16.04 et j'ai bien cette ligne. Et lorsqu'on définit un mot de passe pour le user root de mysql. il faut renseigné ce mot de passe dans le fichier config.inc.php de phpmyadmin pour pouvoir acceder au SGBD mysql avec phpmyadmin http://www.jcz.fr/phpmyadmin/ (section 3.b). d'ou ma question n'est-il pas dangeureux de mettre ce mot de passe de lutilisateur root de mysql en clair dans un tel fichier????

Hors ligne

#6 Le 08/10/2016, à 07:39

jplemoine

Re : Fichier config.inc.php de phpmyadmin problème de sécurité

Perso, en utilisant bêtement les dépôts, j'ai la version Version: 4.0.10deb1. Donc soit on ne parle pas de la même version, soit tu as fait une installation particulière.
Et pour répondre à ta question, oui, c'est dangereux mais pas (plus) nécessaire.
Ce tutoriel a été rédigé pour Windows en décembre 2014.


Membre de l'ALDIL (Association Lyonnaise pour le Développement de l'Informatique Libre)
- En pro, après 20 ans de développement, administrateur Linux / Unix depuis Avril 2019.
- En privé, sous Ubuntu-Xubuntu depuis 2009.

Hors ligne

#7 Le 08/10/2016, à 09:37

bruno

Re : Fichier config.inc.php de phpmyadmin problème de sécurité

Phpmyadmin n'a jamais eu besoin de connaître le mot de passe root de mysql pour fonctionner.
Le seul utilisateur/mot de passe qui doit être renseigné dans ses fichiers de configuration c'est celui de sa propre base de données (généralement phpmyadmin avec des tables préfixées pma_), et ce mot de passe est stocké dans /etc/phpmyadmain/config-db.php qui n'est lisible que par root et l'utilisateur qui exécute le serveur web.

Hors ligne

#8 Le 08/10/2016, à 09:50

jplemoine

Re : Fichier config.inc.php de phpmyadmin problème de sécurité

xxx@yyy:~$ cat /etc/phpmyadmain/config-db.php
cat: /etc/phpmyadmain/config-db.php: Aucun fichier ou dossier de ce type
xxx@yyy:~$ 

Et pourtant, phpmyadmin fonctionne....


Membre de l'ALDIL (Association Lyonnaise pour le Développement de l'Informatique Libre)
- En pro, après 20 ans de développement, administrateur Linux / Unix depuis Avril 2019.
- En privé, sous Ubuntu-Xubuntu depuis 2009.

Hors ligne

#9 Le 08/10/2016, à 10:35

bruno

Re : Fichier config.inc.php de phpmyadmin problème de sécurité

Voilà ce qui arrive quand on fait un copier/coller lol

sudo cat /etc/phpmyadmin/config-db.php

Hors ligne

#10 Le 08/10/2016, à 10:54

jplemoine

Re : Fichier config.inc.php de phpmyadmin problème de sécurité

il y a bien le mot de passe en clair mais
- c'est celui de l'utilisateur phpmyadmin
- il n'y a que root et www-data qui puisse le lire.

xxx@yyy:~$ ls -l /etc/phpmyadmin/config-db.php
-rw-r----- 1 root www-data 521 août  26 23:21 /etc/phpmyadmin/config-db.php
xxx@yyy:~$ 

Donc, sauf erreur, il y a bien un trou de sécurité... ou pas ?


Membre de l'ALDIL (Association Lyonnaise pour le Développement de l'Informatique Libre)
- En pro, après 20 ans de développement, administrateur Linux / Unix depuis Avril 2019.
- En privé, sous Ubuntu-Xubuntu depuis 2009.

Hors ligne

#11 Le 08/10/2016, à 11:39

bruno

Re : Fichier config.inc.php de phpmyadmin problème de sécurité

À mon sens il n'y a pas de faille de sécurité. En tout cas pas plus que dans n'importe quel CMS utilisant PHP/MySQL qui contient toujours un fichier de configuration avec les identifiants de connexion à la base de données.

Hors ligne