【待反馈】phpmyadmin公共访问权限默认开启安全风险

新安装宝塔phpmyadmin公共访问权限默认开启。自己都建议phpmyadmin启用公共访问权限可能存在安全风险，建议非必要不启用!

/www/wwwlogs/access.log 644权限(公共读)，如果网站出现文件读取漏洞，读取access.log和数据库连接文件数据库就被黑了

运维技术阿闯 · 发表于 2024-5-24 14:20:03

您好，phpmyadmin只是一个可以提供面板链接的界面，还是需要您输入账号密码才能登陆，如果您不想使用公共权限的是可以通过手动关闭的
这个access.log文件的所有者是www账号，而www账号在面板上仅仅只有运行web服务的权限，并未有其他特殊权限
正常的文件权限是700

ITCN · 发表于 2024-5-24 21:25:37

运维技术阿闯发表于 2024-5-24 14:20
您好，phpmyadmin只是一个可以提供面板链接的界面，还是需要您输入账号密码才能登陆，如果您不想使用公共权 ...

文件读取漏洞可以读取网站数据库配置（包含数据库账户密码），可以读取/www/wwwlogs/access.log 这个文件权限是www 700 ,网站权限也是www可以任意读取敏感信息，获取phpmyadmin随机的访问路径。加上phpmyadmin默认开启公网访问直接打进数据库！

运维技术阿闯 · 发表于 2024-6-6 10:56:46

ITCN 发表于 2024-5-24 21:25
文件读取漏洞可以读取网站数据库配置（包含数据库账户密码），可以读取/www/wwwlogs/access.log 这个文件 ...

您好，您这边可以详细说一下吗