Ubuntu-fr

bilugeek

Fichier config.inc.php de phpmyadmin problème de sécurité

Bonjour,

Renseigné le mot de passe root en clair dans le fichier conf de phpmyadmin ne constitue t-il pas un probleme de sécurité?

Ce fichier (config.inc.php) n'est-il pas accessible ?

Merci de bien vouloir me répondre

gl38

Re : Fichier config.inc.php de phpmyadmin problème de sécurité

L’utilisateur root de mysql n'est pas le même que celui du système, il n'y a donc pas lieu qu'ils aient le même mot de passe.
Ensuite dans les dernières versions de phpMyAdmin (4.6.4) ce mot de passe n'est pas stocké ni en clair ni codé. Il est gardé dans un cookie du navigateur, cookie que l'on peut effacer en quittant le navigateur.
Cordialement,
Guy

bilugeek

Re : Fichier config.inc.php de phpmyadmin problème de sécurité

Le mot de passe est renseigné dans le fichier config.inc.php à la ligne $cfg['Servers'][$i]['password'] = ''; ou pas?

jplemoine

Re : Fichier config.inc.php de phpmyadmin problème de sécurité

En 14.04 comme en 16.04, je n'ai pas cette ligne...

---

Ce compte ne servira plus : vous pouvez le supprimer si le coeur vous en dit...
Laissé par l'auteur pour historique.

bilugeek

Re : Fichier config.inc.php de phpmyadmin problème de sécurité

Je suis en Version 4.5.2 de phpmyadmin sous 16.04 et j'ai bien cette ligne. Et lorsqu'on définit un mot de passe pour le user root de mysql. il faut renseigné ce mot de passe dans le fichier config.inc.php de phpmyadmin pour pouvoir acceder au SGBD mysql avec phpmyadmin http://www.jcz.fr/phpmyadmin/ (section 3.b). d'ou ma question n'est-il pas dangeureux de mettre ce mot de passe de lutilisateur root de mysql en clair dans un tel fichier????

jplemoine

Re : Fichier config.inc.php de phpmyadmin problème de sécurité

Perso, en utilisant bêtement les dépôts, j'ai la version Version: 4.0.10deb1. Donc soit on ne parle pas de la même version, soit tu as fait une installation particulière.
Et pour répondre à ta question, oui, c'est dangereux mais pas (plus) nécessaire.
Ce tutoriel a été rédigé pour Windows en décembre 2014.

---

Ce compte ne servira plus : vous pouvez le supprimer si le coeur vous en dit...
Laissé par l'auteur pour historique.

bruno

Re : Fichier config.inc.php de phpmyadmin problème de sécurité

Phpmyadmin n'a jamais eu besoin de connaître le mot de passe root de mysql pour fonctionner.
Le seul utilisateur/mot de passe qui doit être renseigné dans ses fichiers de configuration c'est celui de sa propre base de données (généralement phpmyadmin avec des tables préfixées pma_), et ce mot de passe est stocké dans /etc/phpmyadmain/config-db.php qui n'est lisible que par root et l'utilisateur qui exécute le serveur web.

jplemoine

Re : Fichier config.inc.php de phpmyadmin problème de sécurité

xxx@yyy:~$ cat /etc/phpmyadmain/config-db.php
cat: /etc/phpmyadmain/config-db.php: Aucun fichier ou dossier de ce type
xxx@yyy:~$ 

Et pourtant, phpmyadmin fonctionne....

---

Ce compte ne servira plus : vous pouvez le supprimer si le coeur vous en dit...
Laissé par l'auteur pour historique.

bruno

Re : Fichier config.inc.php de phpmyadmin problème de sécurité

Voilà ce qui arrive quand on fait un copier/coller

sudo cat /etc/phpmyadmin/config-db.php

jplemoine

Re : Fichier config.inc.php de phpmyadmin problème de sécurité

il y a bien le mot de passe en clair mais
- c'est celui de l'utilisateur phpmyadmin
- il n'y a que root et www-data qui puisse le lire.

xxx@yyy:~$ ls -l /etc/phpmyadmin/config-db.php
-rw-r----- 1 root www-data 521 août  26 23:21 /etc/phpmyadmin/config-db.php
xxx@yyy:~$ 

Donc, sauf erreur, il y a bien un trou de sécurité... ou pas ?

---

Ce compte ne servira plus : vous pouvez le supprimer si le coeur vous en dit...
Laissé par l'auteur pour historique.

bruno

Re : Fichier config.inc.php de phpmyadmin problème de sécurité

À mon sens il n'y a pas de faille de sécurité. En tout cas pas plus que dans n'importe quel CMS utilisant PHP/MySQL qui contient toujours un fichier de configuration avec les identifiants de connexion à la base de données.