AN ALLE DIE XAMPP FÜRS INTERNET KONFIGURIEREN!!!!!

Irgendwelche Probleme mit XAMPP für Windows? Dann ist hier genau der richtige Ort um nachzufragen.

AN ALLE DIE XAMPP FÜRS INTERNET KONFIGURIEREN!!!!!

Postby BMF » 09. January 2005 12:22

Hallo,

ich habe schon wieder bemerkt das viele, die ihren XAMPP fürs Internet konfigurieren, vergessen das AUCH der MySQL User "pma" ein Passwort benötigt, da man sonst alle Datenbanken und User löschen kann!! Bitte legt auch ein Passwort für den User "pma" an, wenn ihr das gemacht habt, geht ihr in die config.inc von phpmyadmin und tragt dort das Passwort ein!!

Viele Grüße
BMF
Irren ist menschlich. Aber um richtigen Mist zu bauen, braucht man einen Computer.
User avatar
BMF
 
Posts: 101
Joined: 29. December 2004 18:19
Location: NRW

Postby PF4 » 09. January 2005 12:25

pma localhost No USAGE No
der darf so gut wie garnix!
PF4
 
Posts: 528
Joined: 10. March 2003 09:15

Postby Wiedmann » 09. January 2005 12:31

Code: Select all
Benutzer  Host        Kennwort  Globale Rechte    Grant   
pma       localhost   Nein      ALL PRIVILEGES    Ja

:cry:

(Hat sich Oswald in der Release 1.4.11 ein Herz genommen? In der Beta sah es unter Linux auch noch so aus. Weist ja auch, dass ich dazu auch schon hin und wieder ein Wort verloren hab *g*)
Wiedmann
AF Moderator
 
Posts: 17106
Joined: 01. February 2004 12:38
Location: Stuttgart / Germany

Postby PF4 » 09. January 2005 12:34

naja was soll man da sagen -> Mülltonne
PF4
 
Posts: 528
Joined: 10. March 2003 09:15

Postby Dschingis » 09. January 2005 12:40

:oops: :oops: :oops:

ich war der dödl :roll:

nochmal danke an bmf :)

tut das raus, das is gefährlich ^^
Dschingis
 
Posts: 14
Joined: 09. January 2005 01:22

Postby Wiedmann » 09. January 2005 12:42

*letztesworthabenwill* *g*

Noch ein Nachtrag Für BMF:
Wenn ihr für den pma ein Passwort macht, wird im Moment MySLQ durch "xampp_stop.exe" nicht mehr beendet. In diesem Fall sollte man in der "mysql_stop.bat" die fehlenden Parameter für "mysqladmin.exe" nachtragen: "--user=foo" und "--password=bar". Und MySQL darüber beenden. Oder MySQL / Apache als Systemdienst einrichten.
Wiedmann
AF Moderator
 
Posts: 17106
Joined: 01. February 2004 12:38
Location: Stuttgart / Germany

Postby Manni » 09. January 2005 19:30

Hallo Group

ich check hier garnix, was ihr hier schreibselt. Verbergen sich Gefahren, wenn man diesem pma User kein Passwort verpasst? Genau wo, wie und was muss man da reinschreiben? Mysql wird beim Start von Xampp zwar gestartet, aber brauchen tu ich das nicht. Kann man das ändern? Xampp ist als Service inst.

Gruß & Danke
Jeder Tag an dem Du nicht lächelst, ist ein verlorener Tag :-)
User avatar
Manni
 
Posts: 31
Joined: 19. July 2003 22:09

Postby Dschingis » 09. January 2005 19:55

geh auf dein phpmyadmin und dort auf rechte. dann wirst du so eine ähnliche Liste vorfinden

Code: Select all
enutzerübersicht
 Benutzer     Host     Kennwort     Globale Rechte     Grant        
   Jeder   %   Nein   USAGE    Nein      
   Dschingis   %   Ja   ALL PRIVILEGES    Ja      
   Wandling   %   Ja   USAGE    Nein      
   pma   localhost   Ja   USAGE    Nein      
   root   %   Ja   ALL PRIVILEGES    Ja      
   root   localhost   Ja   ALL PRIVILEGES    Ja


schaut etwas schlimm aus entschuldigung.

nun ja man sieht dann das root über den host % alle privilegien hat ... und auch pma hatte bei mir alle rechte, ich habe ihm dann alle rechte weggenommen und n passwort drüber gemacht :)

das wars dann.

wenn dies halt nicht der fall ist, kann man sich über "pma" ohne pw. einloggen, und hat adminrechte über ALLE!!! datenbanken
Dschingis
 
Posts: 14
Joined: 09. January 2005 01:22

Postby Manni » 10. January 2005 00:50

Hallo Dschingis,

sorry, ich bin da Anfänger. Muss ich da eine Datei aufrufen, oder eine editieren.

Gruß & Danke
Jeder Tag an dem Du nicht lächelst, ist ein verlorener Tag :-)
User avatar
Manni
 
Posts: 31
Joined: 19. July 2003 22:09

Postby Dschingis » 10. January 2005 07:08

ich auch, *gg*

also irgendwo hast du ja die xampp adminkonsole
anfangst ist sie hier zu erreichen http://localhost
dort gehst du auf unter tools auf "phpMyAdmin"
dort auf Rechte.

Dann solltest du dieses Fenster sehen... dort verpasst du den pma ein passwort (oder nimmst privilegien weg) und gut ist :)
Dschingis
 
Posts: 14
Joined: 09. January 2005 01:22

Postby gweep » 10. January 2005 14:09

Hallo,

gibts irgendwo eine genaue Anleitung was ich tun muss um XAMPP Komplett sicher zu machen?

Wäre mir recht wichtig bevor ich zu den anderen Problemen über gehe die ich hier damit habe.

Grüsse,
gweep
gweep
 
Posts: 3
Joined: 10. January 2005 14:03
Location: Wien

Postby BMF » 10. January 2005 15:51

Hi,

also eine genaue Anleitung eher jain :D
wenn du http://localhost/xampp aufrufst, steht links im Frame "Sicherheitscheck" da kannst du drauf klicken und gucken, was bei dir noch unsicher bzw sicher ist. Unter dieser Tabelle steht ein Link, der nur von LOCALHOST aufgerufen werden kann und zwar dieser
=> http://localhost/xampp/xamppsecurity.php
rufe den auf und dort legst du ein Passwort für "root" an und einen Account für XAMPP. Dann gehst du in /apachefriends/xampp/phpmyadmin rein und suchst die Datei config.inc, öffne die mit einem Editor oder einem PHP Editor und dort steht dann folgendes:

Code: Select all
$cfg['Servers'][$i]['host']          = 'localhost'; // MySQL hostname or IP address
$cfg['Servers'][$i]['port']          = '';          // MySQL port - leave blank for default port
$cfg['Servers'][$i]['socket']        = '';          // Path to the socket - leave blank for default socket
$cfg['Servers'][$i]['connect_type']  = 'tcp';       // How to connect to MySQL server ('tcp' or 'socket')
$cfg['Servers'][$i]['extension']     = 'mysql';     // The php MySQL extension to use ('mysql' or 'mysqli')
$cfg['Servers'][$i]['compress']      = FALSE;       // Use compressed protocol for the MySQL connection
                                                                     // (requires PHP >= 4.3.0)
$cfg['Servers'][$i]['controluser']   = 'pma';          // MySQL control user settings
                                                                  // (this user must have read-only
$cfg['Servers'][$i]['controlpass']   = ';           // access to the "mysql/user"
                                                                    // and "mysql/db" tables).
                                                                    // The controluser is also
                                                                    // used for all relational
                                                                    // features (pmadb)
$cfg['Servers'][$i]['auth_type']     = 'http';      // Authentication method (config, http or cookie based)
$cfg['Servers'][$i]['user']          = 'root';      // MySQL user
$cfg['Servers'][$i]['password']      = '';   // MySQL password (only needed


Bei :
$cfg['Servers'][$i]['auth_type'] = 'http'; // Authentication method
muss UNBEDINGT 'http' eingetragen werden, da man sonst keinen Zugriff von phpmyadmin mehr hatt. Bei dieser Stelle:
$cfg['Servers'][$i]['password'] = ''; // MySQL password (only needed
trägst du das Passwort ein, was du am Anfang vergeben hast. gehe nun in phpmyadmin rein und melde dich als "root" an und vergebe dem User "pma" ein Passwort, dann gehst du wieder in die config.inc und änderst folgende Stelle:
Code: Select all
$cfg['Servers'][$i]['extension']     = 'mysql';     // The php MySQL extension to use ('mysql' or 'mysqli')
$cfg['Servers'][$i]['compress']      = FALSE;       // Use compressed protocol for the MySQL connection
                                                                     // (requires PHP >= 4.3.0)
$cfg['Servers'][$i]['controluser']   = 'pma';          // MySQL control user settings
                                                                  // (this user must have read-only
$cfg['Servers'][$i]['controlpass']   = '';           // access to the "mysql/user"


Dann gibst du hier bei = '' dein PW ein, was du dem User "pma" gegeben hast.
$cfg['Servers'][$i]['controlpass'] = ''; // access to the "mysql/user"

Viele grüße
BMF[/quote]
Irren ist menschlich. Aber um richtigen Mist zu bauen, braucht man einen Computer.
User avatar
BMF
 
Posts: 101
Joined: 29. December 2004 18:19
Location: NRW

Postby gweep » 10. January 2005 17:37

Herzlichen dank, werd mich drüber stürzen und mir das nochmal anschauen.

Das bei MySQL hab ich gelesen aber bezüglich anderer dinge nur wenig :)
gweep
 
Posts: 3
Joined: 10. January 2005 14:03
Location: Wien

xampp internet-sicher

Postby groehl » 15. January 2005 18:03

Hallo,
auch von mir Danke für die übersichtliche Zusammenstellung.
Vor einiger Zeit habe ich das alles mal versucht und dann eine Nacht lang immer wieder MySQL neu installiert, weil das die vergebenen Passwörter wieder zu vergessen schien, und dann war kein Zugriff mehr möglich. Ich habe zwar mehrere Hinweise im Web dazu gefunden, aber eine zumindest mir verständliche Lösung bzw. Erklärung war nicht dabei. Jetzt werde ich, nachdem ich damals entnervt aufgegeben hatte, einen neuen Versuch starten. Über weitere Infos zu diesem Thema würde ich mich sehr freuen, vor allem, dass man dabei nichts Vergisst....

xampp win 1.4.10
groehl
 
Posts: 1
Joined: 15. January 2005 17:46
Location: Pfalz

Postby MarkusL » 27. January 2005 02:34

Hallo

Ich habe mir xampp für windows server 2003 runtergeladen.

Habe diese Sicherheitslücke gelesen.

Der Controluser "PMA", für was ist der gut? Ich kenne mich in der phpmyadmin nicht so gut aus.

Ich hab Ihm alle Rechte entzogen, das war kein Problem, aber als ich Ihm noch ein Passwort verpasst habe, kam ich als User "root" nicht mehr rein.

Als ich dem User "PMA" dann noch ein Passwort in der config.inc von phpmyadmin gegeben habe, kam ich als root wieder rein, aber ich hatte keine Rechte mehr eine Datenbank anzulegen. Ausserdem funzte der Xampp-Basic-Stop nicht mehr.

Was ganz schlimm ist, ich versuchte bei jemand anders, ich sage nicht wen, in die phpmyadin mit dem User "pma" zu gelangen, und siehe da, ich konnte alle Datenbanken lesen und hätte sie auch löschen können. :wink:

Gruß Markus
MarkusL
 
Posts: 16
Joined: 27. January 2005 02:19

Next

Return to XAMPP für Windows

Who is online

Users browsing this forum: No registered users and 6 guests