phpmyadmin + roundcube

bytewurm · 26. März 2013

Hi,

vielleicht ist es für den ein oder anderen interessant.

Ich habe hier LC 1.6.1 mit Debian wheezy auf 2 Servern mit mysql/apache/postfix/dovecot, für beide (basic hostname) habe ich je ein SSL-Zertifikat und die wollte ich gerne nicht nur für das LC-Interface auf dem 1. Host (https://mein.server.de:8443), sondern auch für zB phpmyadmin und roundcube nutzen.

Die offizielle Konfiguration wäre ein einfacher Hostingvertrag mit darin installierten Apps, was den Nachteil mit sich bringt, dass die bereits bezahlten Zertifikate nicht mehr so recht passen, weil die halt auf den Servernamen lauten und ich für ein Wildcard-Zertifikat viel zu geizig bin, außerdem waren die grad da.

Darüberhinaus möchte ich gerne phpmyadmin und roundcube von Debian verwaltet wissen, ich bin da etwas eigen bezüglich Versionskontrolle und Security (Jaja, ich weiß - wheezy ist testing, geschenkt).

Den Code in zB "/etc/apache2/sites-available/default-special" speichern, mit "a2ensite default-special" aktivieren und mit "service apache2 restart" den Webserver mal gründlich neu starten.

Code

#
# damit wird phpmyadmin parsebar unter dem default server
# http://mein.server.de/phpmyadmin
#
<Directory /usr/share/phpmyadmin>
  <Files ~ ".php$">
    SetHandler application/x-httpd-php
  </Files>
</Directory>


#
# dito fuer roundcube
# http://mein.server.de/roundcube
# Achtung: Aliase aktivieren!
#
<Directory /var/lib/roundcube/>
  <Files ~ ".php$">
    SetHandler application/x-httpd-php
  </Files>
</Directory>


#
# Das hier definiert den Standardhost auch mit SSL, d.h. wir koennen
# damit unsere debian-default Pakete (zB phpmyadmin) auch mit https
# laufen lassen
# https://mein.server.de/phpmyadmin
#
<VirtualHost 1.2.3.4:443 [1:2:3::f]:443>
    Servername default
    DocumentRoot "/usr/share/liveconfig/html/"
    SSLEngine on
    SSLCertificateKeyFile /etc/liveconfig/sslcert.pem
    SSLCertificateFile /etc/liveconfig/sslcert.pem
</VirtualHost>

Alles anzeigen

Ich habe bisher noch keine Probleme mit dem Regelbetrieb festgestellt, aber da ich hier auch noch keine komplexen Setups habe kann das noch kommen, also alles auf eigene Gefahr!

Ich hoffe, KK wirft mich nicht gleich aus dem Forum

Gruß

/Byte

Thomas Steinbach · 28. März 2013

Hallo bytewurm

Mein Motiv entspricht genau deinem, ein Wildcard Zertifikat ist einfach zu teuer wenn es auch ohne geht.

Zur Information:
Installiert man phpmyadmin per aptitude, wird der Alias bereits unter /etc/apache2/conf.d/phpmyadmin.conf definiert.
Dort liegt auch ein roundcube file, in dem auch ein Alias definiert werden kann.

mfG
Thomas

suppenuser · 18. April 2013

Zitat von Thomas Steinbach

Hallo bytewurm
Falls jemand Probleme hat das die php-files danach nicht ausgeführt sondern heruntergeladen werden, in LiveConfig bei PHP das Modul "mod_php" verwenden. (wird im Hosting Vertrag definiert)

*fassungslos staun*
Warum machst Du nicht einfach eine statische HTML-Website, auf der Du Username (wahrscheinlich "root") und das Passwort zu Deinem Server veröffentlichst? In sich ist das viel weniger Arbeit für Dich, hat aber mit Sicherheit das selbe Ergebnis.

Wir haben 2013. Diese Sicherheitsaspekt-Abstinenz/Einbruchsmöglichkeiten-Ignoranz passt in die frühen 1990er, darf aber seit 2000 getrost als obsolet bezeichnet werden.

Thomas Steinbach · 21. April 2013

Danke für den Hinweis.
Tatsächlich hatte ich kurz nach dem verfassen des Beitrages die ersten Probleme mit den Dateirechten aufgrund der verwendung von mod_php.
Danach hab ich mich informiert und bemerkt das mod_php nur eine Option sein kann wenn nur ein Kunde auf dem Server ist.
Das ist wohl weniger unter "Sicherheitsaspekt-Abstinenz/Einbruchsmöglichkeiten-Ignoranz" einzuordnen, ich habs zu dem Zeitpunkt einfach nicht gewusst.
Hab mir erlaubt den Satz zu entfernen, damit das keiner als Empfehlung zu mod_php interpretiert.

mfG
Thomas

suppenuser · 21. April 2013

Hi.

Selbst mit einem nur selbst genutzten Server ist das Sicherheitsrisiko mod_php ind Verbindung mit phpMyAdmin nicht zu kalkulieren. Der geneigte Leser möge doch mal sein Apache-Log nach "phpmyadmin" durchforsten und überlegen, warum sich so viele geistig minderbemittelte Skriptkiddys aus Russland, China, Amerika und Berlin sich die Mühe machen, diverse Versionen (übrigens jetzt auch schon die vorletzte Version) von phpMyAdmin zu suchen ...

Falzo · 25. April 2013

bei mir so: verwende ebenfalls wheezy, dovecot, roundcube und phpmyadmin. wobei ich roundcube und phpmyadmin vom nginx serven lasse, nicht vom Apache. wenn man eine zusaetzliche IP für den nginx erübrigen kann, geht das auch alles auf dem standard-port und die Verwaltung der zugehörigen domains, sowie der ssl-zertifikate laesst sich mit liveconfig erledigen. auf die Verzeichnis in denen phpmyadmin und roundcube liegen, kann man ggf. auch verlinken

phpmyadmin + roundcube

Jetzt mitmachen!

Tags