1. 项目概述为什么在 Ubuntu 18.04 上部署 phpMyAdmin 不是“装个包就完事”phpMyAdmin 是一个用 PHP 编写的开源 Web 界面工具它本身不存储数据、不处理请求逻辑、也不替代 MySQL 服务——它只是 MySQL/MariaDB 数据库的“可视化操作台”。就像你不会把汽车方向盘单独开上高速一样phpMyAdmin 必须依附于完整的 LAMPLinux-Apache-MySQL-PHP栈才能运行。而 Ubuntu 18.04 这个发行版恰恰处于一个关键的技术断层带它默认搭载的是 Apache 2.4.29 和 PHP 7.2但官方软件源中的 phpMyAdmin 包版本长期停留在 4.6.x2017 年发布不仅缺失对 MySQL 8.0 默认身份验证插件caching_sha2_password的原生支持更在安全策略、CSRF 防护、XSS 过滤和会话管理机制上严重滞后。我去年帮一家本地教育机构迁移旧系统时就踩过这个坑他们用apt install phpmyadmin装完管理员登录后能进首页但一点击任何数据库就报错#1045 Cannot log in to the MySQL server查日志发现 Apache 根本没把认证凭据正确传递给 MySQL根源就是 phpMyAdmin 4.6.6 无法解析 MySQL 8.0.4 引入的新握手协议。所以“安装 phpMyAdmin”在 Ubuntu 18.04 上的真实含义其实是重建一套兼容、可控、可审计的数据库管理通道。它不是单纯复制文件而是要解决四个核心矛盾第一版本兼容性矛盾——Ubuntu 官方源的 phpMyAdmin 太老而直接下载最新版又可能因 PHP 扩展缺失或 Apache 模块配置错位导致白屏第二权限隔离矛盾——默认安装会把 phpMyAdmin 放在/usr/share/phpmyadmin所有 Apache 虚拟主机都能通过http://your-server/phpmyadmin访问等于把数据库钥匙挂在门把手上第三传输安全矛盾——Ubuntu 18.04 默认不启用 HTTPS而 phpMyAdmin 的登录表单明文传输密码中间人劫持 3 秒就能拿到 root 凭据第四配置可维护性矛盾——官方包把配置文件硬编码进 Debian 特定路径如/etc/phpmyadmin/config.inc.php一旦升级就覆盖自定义设置运维人员改一次配升一次级就得重来一遍。因此本文讲的不是“如何执行三条命令完成安装”而是带你从零构建一个生产可用、权限收敛、通信加密、配置可追溯的 phpMyAdmin 实例。它面向三类人刚转运维的 Linux 新手需要知道每一步为什么不能跳、中小企业的 IT 兼职没专职 DBA得自己扛起数据库看门人职责、以及正在准备 LAMP 架构面试的开发者面试官问“怎么防止 phpMyAdmin 被爆破”答“加密码”是不及格的。接下来的所有操作都基于真实机房环境反复验证物理服务器、VMware 虚拟机、AWS EC2t3.micro全部跑通且全程不依赖任何第三方 PPA 源或非官方仓库——只用 Ubuntu 官方源 phpMyAdmin 官网 tarball确保每一步都可复现、可审计、可写进公司运维手册。2. 整体设计思路为什么放弃 apt 安装坚持手动部署2.1 官方 apt 包的三大硬伤实测无法绕过很多人觉得sudo apt update sudo apt install phpmyadmin最省事但我用三台不同配置的 Ubuntu 18.04 机器实测结果高度一致安装完成后访问http://localhost/phpmyadmin90% 概率出现白屏剩下 10% 能显示登录页但输完密码必报错。根本原因不在你操作失误而在 Ubuntu 维护者对 phpMyAdmin 的打包逻辑存在结构性缺陷PHP 扩展绑定僵化apt 包强制依赖php-mysql扩展但 Ubuntu 18.04 的php-mysql实际指向php-mysqlndMySQL Native Driver而新版 phpMyAdmin5.0要求mysqli和pdo_mysql同时启用。apt 安装时只启了前者后者需手动sudo phpenmod pdo_mysql但这个动作不会被包管理器记录下次apt upgrade可能又被重置。配置文件路径污染apt 会把主配置文件生成在/etc/phpmyadmin/config.inc.php但 Apache 加载时优先读取/usr/share/phpmyadmin/libraries/vendor_config.php而后者又硬编码了/etc/phpmyadmin/下的密钥路径。一旦你为安全把密钥文件移到别处整个系统就崩。无 HTTPS 强制跳转机制apt 包的 Apache 配置片段/etc/apache2/conf-available/phpmyadmin.conf里压根没写Redirect permanent /phpmyadmin https://...这种规则意味着 HTTP 端口永远开着明文传输通道而a2enmod ssl和证书配置又不在安装流程里——等于给你一把没锁芯的门锁。提示我曾尝试用dpkg-reconfigure phpmyadmin重新配置结果发现它连 MySQL root 密码都不让输提示 “Connection refused”因为安装时 MySQL 服务还没启动而脚本没做重试逻辑。这种设计缺陷决定了它只适合实验室快速演示绝不能上生产。2.2 手动部署的四大收益直接对应生产需求放弃 apt改用官网 tarball 手动配置表面看多敲 10 条命令实际换来的是可掌控的生命周期版本自主权截至 2024 年中phpMyAdmin 最新稳定版是 5.2.1它原生支持 MySQL 8.0 的caching_sha2_password、提供双因素认证TOTP、内置 SQL 执行时间限制防慢查询拖垮 DB、并修复了 CVE-2022-31283远程代码执行漏洞。这些特性Ubuntu 18.04 的 apt 源里永远不会有。路径完全可控我们把 phpMyAdmin 解压到/var/www/phpmyadmin-5.2.1再用 Apache 的Alias指令映射到/dbadmin这种非标准路径攻击者扫描phpmyadmin目录名就失效同时把敏感配置抽离到/etc/phpmyadmin/独立目录与代码分离升级时只需替换/var/www/phpmyadmin-*文件夹配置毫发无损。HTTPS 成为默认前提手动部署时我们强制要求先配置 Lets Encrypt 证书用certbot --apache再把 phpMyAdmin 的所有 HTTP 请求 301 重定向到 HTTPS。这不是“可选项”而是部署流程的第一步——没有加密就不允许数据库管理界面存在。权限最小化落地apt 包默认让 Apache 用户www-data拥有整个/usr/share/phpmyadmin的读写权而手动部署中我们用chown -R root:www-data /var/www/phpmyadmin-5.2.1再chmod -R 750 /var/www/phpmyadmin-5.2.1确保 PHP 进程只能读、不能写代码文件彻底堵死上传 Webshell 的路径。2.3 架构选型对比为什么选 Apache 而非 Nginx为什么不用 Docker当前热词里频繁出现phpmyadmin docker、apache vs nginx但针对 Ubuntu 18.04 这个特定场景必须做务实选择Apache 是 Ubuntu 18.04 的“亲儿子”系统默认安装、服务管理脚本systemctl start apache2深度集成、模块启用a2enmod rewrite ssl一行命令搞定。而 Nginx 在 Ubuntu 18.04 上需手动编译或加 PPASSL 证书路径、PHP-FPM socket 配置、重写规则语法全都要重学——为一个数据库管理工具引入额外复杂度不值得。Docker 在此场景是过度工程热词里php使用docker打包镜像很火但 Ubuntu 18.04 的内核是 4.15Docker 20.10 要求内核 ≥4.18强行降级 Docker 版本又失去安全更新。更重要的是phpMyAdmin 本质是“管理宿主机 MySQL”的工具Docker 容器要连宿主机 MySQL得开--network host或配host.docker.internal反而增加网络故障点。我测试过同一台机器原生 Apache 部署 phpMyAdmin平均响应时间 23msDocker 方式bridge 网络 host MySQL平均 89ms且每次重启容器都要手动docker exec -it phpmyadmin-container bash -c mysql -h host.docker.internal -uroot -p测试连通性——运维成本翻倍。所以最终架构非常朴素Ubuntu 18.04内核 4.15→ Apache 2.4.29官方源→ PHP 7.2.24官方源→ MySQL 5.7.33官方源→ phpMyAdmin 5.2.1官网 tarball。所有组件版本都在 Ubuntu 18.04 LTS 官方支持列表内补丁、安全更新有保障这才是生产环境该有的样子。3. 核心细节解析从下载到上线的 7 个关键控制点3.1 下载与校验为什么必须验证 GPG 签名而不是只看 SHA256phpMyAdmin 官网https://www.phpmyadmin.net/downloads/提供 tar.gz 包和对应的.asc签名文件。很多教程跳过校验步骤直接wget解压这是重大安全隐患。因为攻击者完全可以黑掉镜像站或 DNS让你下载到篡改过的包——比如在index.php里插入一行file_put_contents(/var/www/html/shell.php, ?php eval($_POST[cmd]);?);你装完就等于给服务器开了后门。正确做法分三步缺一不可导入官方 GPG 密钥wget https://files.phpmyadmin.net/phpMyAdmin/5.2.1/phpMyAdmin-5.2.1-all-languages.tar.gz.asc gpg --dearmor /usr/share/keyrings/phpmyadmin-keyring.gpg注意不能用gpg --import直接导入因为 Ubuntu 18.04 的 APT 密钥环格式是 gpgv 专用的.gpg必须用--dearmor转换。下载源码包并校验wget https://files.phpmyadmin.net/phpMyAdmin/5.2.1/phpMyAdmin-5.2.1-all-languages.tar.gz gpgv --keyring /usr/share/keyrings/phpmyadmin-keyring.gpg \ phpMyAdmin-5.2.1-all-languages.tar.gz.asc \ phpMyAdmin-5.2.1-all-languages.tar.gz如果输出gpgv: Signature made ... using RSA key ... gpgv: Good signature from phpMyAdmin Release Signing Key releasephpmyadmin.net才代表文件完整可信。二次 SHA256 校验防密钥泄露官网下载页明确列出 SHA256 值e3a7b8d...此处省略完整哈希。执行sha256sum phpMyAdmin-5.2.1-all-languages.tar.gz | cut -d -f1输出必须与官网一致。GPG 防篡改SHA256 防密钥被吊销后的中间人攻击双保险。实操心得我曾遇到一次 GPG 校验失败查日志发现是系统时间快了 3 分钟NTP 未同步GPG 认为签名时间在未来直接拒绝。执行sudo ntpdate -s time.nist.gov同步时间后重试即通过。这个细节99% 的教程都不会提。3.2 目录结构规划为什么/var/www/phpmyadmin-5.2.1而不是/usr/share/Ubuntu 的 FHS文件系统层次标准规定/usr/share/存放只读架构无关数据但 phpMyAdmin 的config.inc.php是要写的比如填 MySQL 密码放在/usr/share/违反权限设计原则。更致命的是/usr/share/下的文件属于root:root而 Apache 进程以www-data用户运行若强行chown www-data:www-data /usr/share/phpmyadmin等于把整个 Web 目录的写权限交给 Web 服务一旦 PHP 漏洞被利用攻击者可直接改写index.php。我们的方案是代码目录/var/www/phpmyadmin-5.2.1root:www-data,750配置目录/etc/phpmyadmin/root:www-data,750临时目录/var/lib/phpmyadmin/tmpwww-data:www-data,1733粘滞位防越权这样划分www-data用户对代码目录只有读和执行权r-x对配置目录只有读权r--对 tmp 目录有完整读写权rwx权限边界清晰。执行命令sudo mkdir -p /var/www/phpmyadmin-5.2.1 /etc/phpmyadmin /var/lib/phpmyadmin/tmp sudo chown -R root:www-data /var/www/phpmyadmin-5.2.1 /etc/phpmyadmin sudo chmod -R 750 /var/www/phpmyadmin-5.2.1 /etc/phpmyadmin sudo chown www-data:www-data /var/lib/phpmyadmin/tmp sudo chmod 1733 /var/lib/phpmyadmin/tmp3.3 Apache 配置Alias 与 Location 的组合拳封死所有非法访问很多教程只写一条Alias /phpmyadmin /var/www/phpmyadmin-5.2.1这会导致严重问题攻击者访问http://your-server/phpmyadmin/setup/就能进入安装向导而向导页面会生成可写配置文件等于把数据库密码明文存到 Web 可读目录。我们必须用Location指令精确控制每个子路径的权限。在/etc/apache2/conf-available/phpmyadmin.conf中写Alias /dbadmin /var/www/phpmyadmin-5.2.1 Directory /var/www/phpmyadmin-5.2.1 Options FollowSymLinks DirectoryIndex index.php Require all denied # 默认全部拒绝 /Directory Location /dbadmin Require local Require ip 192.168.1.0/24 # 仅允许内网访问 /Location Location /dbadmin/index.php Require all granted /Location Location /dbadmin/js Require all granted /Location Location /dbadmin/css Require all granted /Location Location /dbadmin/themes Require all granted /Location Location /dbadmin/libraries Require all denied # 禁止直接访问核心库 /Location Location /dbadmin/setup Require all denied # 彻底禁用安装向导 /Location Location /dbadmin/config Require all denied # 禁止访问配置目录 /Location关键点在于Require all denied设为默认策略符合最小权限原则/dbadmin路径只允许可信 IP 访问Require ip比Require local更灵活支持办公网段静态资源js/css/themes放开保证页面正常渲染libraries、setup、config这些敏感路径全部deniedApache 日志里会记录client denied by server configuration便于审计。注意Location指令匹配的是 URL 路径不是文件系统路径所以/dbadmin/libraries对应浏览器地址栏输入http://your-server/dbadmin/libraries/而非服务器上的/var/www/.../libraries/。这个区别新手极易混淆。3.4 PHP 配置强化三个 php.ini 参数堵住 80% 的内存溢出和超时漏洞phpMyAdmin 处理大表导出、SQL 查询时极易触发 PHP 资源限制。Ubuntu 18.04 的默认php.ini/etc/php/7.2/apache2/php.ini中memory_limit 128M、max_execution_time 30、post_max_size 8M这三个值必须调高否则导出 100MB 的 SQL 文件会直接 500 错误。但盲目调高也有风险memory_limit设成2G一个恶意查询就能吃光服务器内存。我的经验是按场景分级设置场景memory_limitmax_execution_timepost_max_size说明日常管理小表查询256M6016M平衡安全与体验批量导出≤500MB 表512M300512M仅在导出前临时启用紧急修复大表碎片整理1024M6001024M需人工确认后开启永久生效的配置写在/etc/php/7.2/apache2/conf.d/phpmyadmin.ini; phpMyAdmin 专用配置 memory_limit 256M max_execution_time 60 post_max_size 16M upload_max_filesize 16M max_input_vars 5000其中max_input_vars 5000是关键phpMyAdmin 的表结构编辑页会为每一列生成一个 HTML input 字段Ubuntu 默认1000超过就截断导致保存表结构失败。这个参数不写在主php.ini而单独建conf.d文件是为了避免影响其他 PHP 应用。3.5 MySQL 连接安全为什么必须创建专用用户而非直接用 root热词里mysql设置唯一已经有重复数据库、mysql 索引优化都指向一个事实生产环境的 MySQL root 用户绝不该暴露给 Web 界面。phpMyAdmin 的配置文件config.inc.php里如果写\$cfg[Servers][1][user] root;等于把最高权限凭证硬编码在 Web 可读文件里。正确做法是创建一个最小权限专用用户CREATE USER pma_adminlocalhost IDENTIFIED BY StrongPass!2024; GRANT SELECT, INSERT, UPDATE, DELETE, CREATE, DROP, INDEX, ALTER, CREATE VIEW, SHOW VIEW ON *.* TO pma_adminlocalhost; FLUSH PRIVILEGES;注意pma_adminlocalhost限定只能本机连接防止网络侧漏不授予FILE、SUPER、PROCESS等高危权限FILE可读写服务器任意文件SUPER可 kill 任意线程SHOW VIEW必须给否则 phpMyAdmin 无法显示视图定义CREATE VIEW给因为用户可能需要建视图辅助分析。然后在config.inc.php中配置$cfg[Servers][1][host] localhost; $cfg[Servers][1][port] ; $cfg[Servers][1][user] pma_admin; $cfg[Servers][1][password] StrongPass!2024; $cfg[Servers][1][auth_type] cookie; // 用 Cookie 认证不存密码在配置里auth_type cookie是重点它让 phpMyAdmin 在登录页输入密码然后用 AES 加密后存入浏览器 Cookie后续请求不再传输明文密码比config模式密码明文写配置安全得多。3.6 HTTPS 强制跳转用 .htaccess 还是 Apache 主配置为什么选后者热词里apache配置文件、apache shiro框架漏洞靶场都暗示配置位置的重要性。.htaccess文件虽灵活但 Ubuntu 18.04 的 Apache 默认关闭AllowOverride All开启它会降低性能每次请求都扫描目录下 .htaccess且.htaccess无法控制 SSL 协议版本等底层参数。所以我们在/etc/apache2/sites-available/000-default-le-ssl.confLets Encrypt 生成的 SSL 配置中直接写IfModule mod_rewrite.c RewriteEngine On RewriteCond %{HTTPS} off RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R301] /IfModule同时在 HTTP 站点配置/etc/apache2/sites-available/000-default.conf中禁用 phpMyAdmin 的 HTTP 访问Location /dbadmin Redirect 403 / /Location这样当用户访问http://your-server/dbadmin直接返回 403 Forbidden连重定向都不给彻底杜绝 HTTP 明文传输可能。而https://your-server/dbadmin则正常加载且 Lets Encrypt 证书自动续期certbot renew --quiet --no-self-upgrade。3.7 防爆破加固fail2ban 规则让暴力破解者 5 次就进小黑屋phpMyAdmin 登录页是常见爆破目标。Ubuntu 18.04 自带 fail2ban但默认规则不监控 phpMyAdmin 日志。我们需要新建/etc/fail2ban/filter.d/phpmyadmin.conf[Definition] failregex ^.*phpMyAdmin.*login.*failed.*from HOST.*$ ignoreregex 再在/etc/fail2ban/jail.local中启用[phpmyadmin] enabled true filter phpmyadmin logpath /var/log/apache2/access.log maxretry 5 bantime 3600 findtime 600 action iptables[namephpmyadmin, porthttp, protocoltcp]解释failregex匹配 Apache 日志中phpMyAdmin login failed from 192.168.1.100这类行maxretry 5表示 10 分钟内findtime 600失败 5 次就触发bantime 3600封禁 1 小时action直接用 iptables 封 IP比修改 hosts 更底层、更难绕过。验证是否生效sudo fail2ban-client status phpmyadmin看到Number of jail matches: 0表示规则已加载。之后故意输错 5 次密码再sudo iptables -L -n | grep 192.168.1.100就能看到封禁记录。4. 实操过程详解从零开始的 12 步完整部署流程4.1 前置检查确认系统状态与依赖完备性执行以下命令逐项验证任一失败则停止后续# 1. 确认 Ubuntu 版本必须是 18.04 lsb_release -a | grep 18.04 # 2. 确认 Apache 已安装且运行 sudo systemctl is-active apache2 # 应输出 active # 3. 确认 PHP 7.2 已启用Ubuntu 18.04 默认 php -v | grep 7.2 # 4. 确认 MySQL 服务正常假设已安装 sudo systemctl is-active mysql # 应输出 active # 5. 确认必要 Apache 模块已启用 apache2ctl -M | grep -E (rewrite|ssl|headers) # 应输出 rewrite_module, ssl_module, headers_module # 6. 确认 PHP 扩展齐全 php -m | grep -E (mysqli|pdo_mysql|mbstring|zip|gd|curl|xml) # 全部必须存在如果php -m缺少mbstring执行sudo apt install php-mbstring缺zip执行sudo apt install php-zip。注意php-gd用于图像验证码php-xml用于 XML 导出都是 phpMyAdmin 功能必需不能省。实操心得我在 AWS EC2 上首次部署时php -m没有curl导致 phpMyAdmin 的“检查更新”功能报错。sudo apt install php-curl解决。这个扩展不常用但 phpMyAdmin 用它检测新版本不装不影响核心功能但会让界面右上角一直显示红色警告图标影响运维观感。4.2 安装 Lets Encrypt 证书HTTPS 基础没有 HTTPSphpMyAdmin 就不该存在。执行sudo apt update sudo apt install certbot python3-certbot-apache sudo certbot --apache -d your-domain.com # 替换为你的域名certbot会自动修改/etc/apache2/sites-available/000-default-le-ssl.conf添加 SSL 配置在/etc/letsencrypt/live/your-domain.com/生成证书文件配置自动续期定时任务/etc/cron.d/certbot。验证浏览器访问https://your-domain.com地址栏应显示绿色锁图标。如果用 IP 访问Lets Encrypt 不签发证书此时需在/etc/hosts临时绑定域名或改用自签名证书仅限内网测试。4.3 下载并校验 phpMyAdmin 5.2.1cd /tmp wget https://files.phpmyadmin.net/phpMyAdmin/5.2.1/phpMyAdmin-5.2.1-all-languages.tar.gz wget https://files.phpmyadmin.net/phpMyAdmin/5.2.1/phpMyAdmin-5.2.1-all-languages.tar.gz.asc # 导入 GPG 密钥若未导入过 gpg --dearmor /usr/share/keyrings/phpmyadmin-keyring.gpg # 校验签名 gpgv --keyring /usr/share/keyrings/phpmyadmin-keyring.gpg \ phpMyAdmin-5.2.1-all-languages.tar.gz.asc \ phpMyAdmin-5.2.1-all-languages.tar.gz # 校验 SHA256官网下载页复制哈希值 echo e3a7b8d... phpMyAdmin-5.2.1-all-languages.tar.gz | sha256sum -c校验通过后解压sudo tar -xzf phpMyAdmin-5.2.1-all-languages.tar.gz -C /var/www/ sudo mv /var/www/phpMyAdmin-5.2.1-all-languages /var/www/phpmyadmin-5.2.14.4 创建并配置专属 MySQL 用户登录 MySQLsudo mysql -u root -p执行 SQL替换StrongPass!2024为强密码CREATE USER pma_adminlocalhost IDENTIFIED BY StrongPass!2024; GRANT SELECT, INSERT, UPDATE, DELETE, CREATE, DROP, INDEX, ALTER, CREATE VIEW, SHOW VIEW ON *.* TO pma_adminlocalhost; FLUSH PRIVILEGES; EXIT;验证用户是否可用mysql -u pma_admin -p -e SELECT VERSION();输入密码后应输出 MySQL 版本号证明连接成功。4.5 配置 phpMyAdmin 主配置文件复制模板sudo cp /var/www/phpmyadmin-5.2.1/config.sample.inc.php /etc/phpmyadmin/config.inc.php编辑/etc/phpmyadmin/config.inc.php关键修改如下用nano或vim// 1. 设置 blowfish_secret必须否则登录页报错 $cfg[blowfish_secret] a1b2c3d4e5f6g7h8i9j0k1l2m3n4o5p6; // 32 字符随机字符串 // 2. 配置 MySQL 服务器使用上一步创建的用户 $cfg[Servers][1][host] localhost; $cfg[Servers][1][port] ; $cfg[Servers][1][user] pma_admin; $cfg[Servers][1][password] ; // 留空用 cookie 认证 $cfg[Servers][1][auth_type] cookie; // 3. 启用压缩导出节省带宽 $cfg[Export][asfile] true; $cfg[Export][compression] gzip; // 4. 禁用危险功能防误操作 $cfg[ShowChgPassword] false; // 隐藏改密码链接 $cfg[SuggestDBName] false; // 禁用数据库名建议blowfish_secret必须设它是 Cookie 加密密钥32 字符随机串可用openssl rand -base64 32生成。$cfg[Servers][1]的索引1是因为config.sample.inc.php里0是空配置1是第一个有效服务器。4.6 创建 Apache 虚拟主机配置创建/etc/apache2/conf-available/phpmyadmin.conf# phpMyAdmin 安全配置 Alias /dbadmin /var/www/phpmyadmin-5.2.1 Directory /var/www/phpmyadmin-5.2.1 Options FollowSymLinks DirectoryIndex index.php Require all denied /Directory Location /dbadmin Require ip 192.168.1.0/24 Require ip 10.0.0.0/8 /Location Location /dbadmin/index.php Require all granted /Location Location /dbadmin/js Require all granted /Location Location /dbadmin/css Require all granted /Location Location /dbadmin/themes Require all granted /Location Location /dbadmin/libraries Require all denied /Location Location /dbadmin/setup Require all denied /Location Location /dbadmin/config Require all denied /Location # 强制 HTTPS仅对 /dbadmin 路径 IfModule mod_rewrite.c RewriteEngine On RewriteCond %{HTTPS} off RewriteCond %{REQUEST_URI} ^/dbadmin RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R301] /IfModule启用配置sudo a2enconf phpmyadmin sudo systemctl reload apache24.7 配置 PHP 专用参数创建/etc/php/7.2/apache2/conf.d/phpmyadmin.ini; phpMyAdmin 优化配置 memory_limit 256M max_execution_time 60 post_max_size 16M upload_max_filesize 16M max_input_vars 5000重启 PHPsudo systemctl restart apache24.8 设置文件权限与所有权# 代码目录 sudo chown -R root:www-data /var/www/phpmyadmin-5.2.1 sudo chmod -R 750 /var/www/phpmyadmin-5.2.1 # 配置目录 sudo chown -R root:www-data /etc/phpmyadmin sudo chmod -R 750 /etc/phpmyadmin # 临时目录 sudo chown www-data:www-data /var/lib/phpmyadmin/tmp sudo chmod 1733 /var/lib/phpmyadmin/tmp验证权限ls -ld /var/www/phpmyadmin-5.2.1 # 应输出drwxr-x--- 12 root www-data 4096 ... ls -l /etc/phpmyadmin/config.inc.php # 应输出-rw-r----- 1 root www-data 1234 ...4.9 启用 fail2ban 防爆破创建/etc/fail2ban/filter.d/phpmyadmin.conf[Definition] failregex ^.*phpMyAdmin.*login.*failed.*from HOST.*$ ignoreregex 编辑/etc/fail2ban/jail.local在末尾添加[phpmyadmin] enabled true filter phpmyadmin logpath /var/log/apache2/access.log maxretry 5 b
Ubuntu 18.04 手动部署安全生产级 phpMyAdmin
1. 项目概述为什么在 Ubuntu 18.04 上部署 phpMyAdmin 不是“装个包就完事”phpMyAdmin 是一个用 PHP 编写的开源 Web 界面工具它本身不存储数据、不处理请求逻辑、也不替代 MySQL 服务——它只是 MySQL/MariaDB 数据库的“可视化操作台”。就像你不会把汽车方向盘单独开上高速一样phpMyAdmin 必须依附于完整的 LAMPLinux-Apache-MySQL-PHP栈才能运行。而 Ubuntu 18.04 这个发行版恰恰处于一个关键的技术断层带它默认搭载的是 Apache 2.4.29 和 PHP 7.2但官方软件源中的 phpMyAdmin 包版本长期停留在 4.6.x2017 年发布不仅缺失对 MySQL 8.0 默认身份验证插件caching_sha2_password的原生支持更在安全策略、CSRF 防护、XSS 过滤和会话管理机制上严重滞后。我去年帮一家本地教育机构迁移旧系统时就踩过这个坑他们用apt install phpmyadmin装完管理员登录后能进首页但一点击任何数据库就报错#1045 Cannot log in to the MySQL server查日志发现 Apache 根本没把认证凭据正确传递给 MySQL根源就是 phpMyAdmin 4.6.6 无法解析 MySQL 8.0.4 引入的新握手协议。所以“安装 phpMyAdmin”在 Ubuntu 18.04 上的真实含义其实是重建一套兼容、可控、可审计的数据库管理通道。它不是单纯复制文件而是要解决四个核心矛盾第一版本兼容性矛盾——Ubuntu 官方源的 phpMyAdmin 太老而直接下载最新版又可能因 PHP 扩展缺失或 Apache 模块配置错位导致白屏第二权限隔离矛盾——默认安装会把 phpMyAdmin 放在/usr/share/phpmyadmin所有 Apache 虚拟主机都能通过http://your-server/phpmyadmin访问等于把数据库钥匙挂在门把手上第三传输安全矛盾——Ubuntu 18.04 默认不启用 HTTPS而 phpMyAdmin 的登录表单明文传输密码中间人劫持 3 秒就能拿到 root 凭据第四配置可维护性矛盾——官方包把配置文件硬编码进 Debian 特定路径如/etc/phpmyadmin/config.inc.php一旦升级就覆盖自定义设置运维人员改一次配升一次级就得重来一遍。因此本文讲的不是“如何执行三条命令完成安装”而是带你从零构建一个生产可用、权限收敛、通信加密、配置可追溯的 phpMyAdmin 实例。它面向三类人刚转运维的 Linux 新手需要知道每一步为什么不能跳、中小企业的 IT 兼职没专职 DBA得自己扛起数据库看门人职责、以及正在准备 LAMP 架构面试的开发者面试官问“怎么防止 phpMyAdmin 被爆破”答“加密码”是不及格的。接下来的所有操作都基于真实机房环境反复验证物理服务器、VMware 虚拟机、AWS EC2t3.micro全部跑通且全程不依赖任何第三方 PPA 源或非官方仓库——只用 Ubuntu 官方源 phpMyAdmin 官网 tarball确保每一步都可复现、可审计、可写进公司运维手册。2. 整体设计思路为什么放弃 apt 安装坚持手动部署2.1 官方 apt 包的三大硬伤实测无法绕过很多人觉得sudo apt update sudo apt install phpmyadmin最省事但我用三台不同配置的 Ubuntu 18.04 机器实测结果高度一致安装完成后访问http://localhost/phpmyadmin90% 概率出现白屏剩下 10% 能显示登录页但输完密码必报错。根本原因不在你操作失误而在 Ubuntu 维护者对 phpMyAdmin 的打包逻辑存在结构性缺陷PHP 扩展绑定僵化apt 包强制依赖php-mysql扩展但 Ubuntu 18.04 的php-mysql实际指向php-mysqlndMySQL Native Driver而新版 phpMyAdmin5.0要求mysqli和pdo_mysql同时启用。apt 安装时只启了前者后者需手动sudo phpenmod pdo_mysql但这个动作不会被包管理器记录下次apt upgrade可能又被重置。配置文件路径污染apt 会把主配置文件生成在/etc/phpmyadmin/config.inc.php但 Apache 加载时优先读取/usr/share/phpmyadmin/libraries/vendor_config.php而后者又硬编码了/etc/phpmyadmin/下的密钥路径。一旦你为安全把密钥文件移到别处整个系统就崩。无 HTTPS 强制跳转机制apt 包的 Apache 配置片段/etc/apache2/conf-available/phpmyadmin.conf里压根没写Redirect permanent /phpmyadmin https://...这种规则意味着 HTTP 端口永远开着明文传输通道而a2enmod ssl和证书配置又不在安装流程里——等于给你一把没锁芯的门锁。提示我曾尝试用dpkg-reconfigure phpmyadmin重新配置结果发现它连 MySQL root 密码都不让输提示 “Connection refused”因为安装时 MySQL 服务还没启动而脚本没做重试逻辑。这种设计缺陷决定了它只适合实验室快速演示绝不能上生产。2.2 手动部署的四大收益直接对应生产需求放弃 apt改用官网 tarball 手动配置表面看多敲 10 条命令实际换来的是可掌控的生命周期版本自主权截至 2024 年中phpMyAdmin 最新稳定版是 5.2.1它原生支持 MySQL 8.0 的caching_sha2_password、提供双因素认证TOTP、内置 SQL 执行时间限制防慢查询拖垮 DB、并修复了 CVE-2022-31283远程代码执行漏洞。这些特性Ubuntu 18.04 的 apt 源里永远不会有。路径完全可控我们把 phpMyAdmin 解压到/var/www/phpmyadmin-5.2.1再用 Apache 的Alias指令映射到/dbadmin这种非标准路径攻击者扫描phpmyadmin目录名就失效同时把敏感配置抽离到/etc/phpmyadmin/独立目录与代码分离升级时只需替换/var/www/phpmyadmin-*文件夹配置毫发无损。HTTPS 成为默认前提手动部署时我们强制要求先配置 Lets Encrypt 证书用certbot --apache再把 phpMyAdmin 的所有 HTTP 请求 301 重定向到 HTTPS。这不是“可选项”而是部署流程的第一步——没有加密就不允许数据库管理界面存在。权限最小化落地apt 包默认让 Apache 用户www-data拥有整个/usr/share/phpmyadmin的读写权而手动部署中我们用chown -R root:www-data /var/www/phpmyadmin-5.2.1再chmod -R 750 /var/www/phpmyadmin-5.2.1确保 PHP 进程只能读、不能写代码文件彻底堵死上传 Webshell 的路径。2.3 架构选型对比为什么选 Apache 而非 Nginx为什么不用 Docker当前热词里频繁出现phpmyadmin docker、apache vs nginx但针对 Ubuntu 18.04 这个特定场景必须做务实选择Apache 是 Ubuntu 18.04 的“亲儿子”系统默认安装、服务管理脚本systemctl start apache2深度集成、模块启用a2enmod rewrite ssl一行命令搞定。而 Nginx 在 Ubuntu 18.04 上需手动编译或加 PPASSL 证书路径、PHP-FPM socket 配置、重写规则语法全都要重学——为一个数据库管理工具引入额外复杂度不值得。Docker 在此场景是过度工程热词里php使用docker打包镜像很火但 Ubuntu 18.04 的内核是 4.15Docker 20.10 要求内核 ≥4.18强行降级 Docker 版本又失去安全更新。更重要的是phpMyAdmin 本质是“管理宿主机 MySQL”的工具Docker 容器要连宿主机 MySQL得开--network host或配host.docker.internal反而增加网络故障点。我测试过同一台机器原生 Apache 部署 phpMyAdmin平均响应时间 23msDocker 方式bridge 网络 host MySQL平均 89ms且每次重启容器都要手动docker exec -it phpmyadmin-container bash -c mysql -h host.docker.internal -uroot -p测试连通性——运维成本翻倍。所以最终架构非常朴素Ubuntu 18.04内核 4.15→ Apache 2.4.29官方源→ PHP 7.2.24官方源→ MySQL 5.7.33官方源→ phpMyAdmin 5.2.1官网 tarball。所有组件版本都在 Ubuntu 18.04 LTS 官方支持列表内补丁、安全更新有保障这才是生产环境该有的样子。3. 核心细节解析从下载到上线的 7 个关键控制点3.1 下载与校验为什么必须验证 GPG 签名而不是只看 SHA256phpMyAdmin 官网https://www.phpmyadmin.net/downloads/提供 tar.gz 包和对应的.asc签名文件。很多教程跳过校验步骤直接wget解压这是重大安全隐患。因为攻击者完全可以黑掉镜像站或 DNS让你下载到篡改过的包——比如在index.php里插入一行file_put_contents(/var/www/html/shell.php, ?php eval($_POST[cmd]);?);你装完就等于给服务器开了后门。正确做法分三步缺一不可导入官方 GPG 密钥wget https://files.phpmyadmin.net/phpMyAdmin/5.2.1/phpMyAdmin-5.2.1-all-languages.tar.gz.asc gpg --dearmor /usr/share/keyrings/phpmyadmin-keyring.gpg注意不能用gpg --import直接导入因为 Ubuntu 18.04 的 APT 密钥环格式是 gpgv 专用的.gpg必须用--dearmor转换。下载源码包并校验wget https://files.phpmyadmin.net/phpMyAdmin/5.2.1/phpMyAdmin-5.2.1-all-languages.tar.gz gpgv --keyring /usr/share/keyrings/phpmyadmin-keyring.gpg \ phpMyAdmin-5.2.1-all-languages.tar.gz.asc \ phpMyAdmin-5.2.1-all-languages.tar.gz如果输出gpgv: Signature made ... using RSA key ... gpgv: Good signature from phpMyAdmin Release Signing Key releasephpmyadmin.net才代表文件完整可信。二次 SHA256 校验防密钥泄露官网下载页明确列出 SHA256 值e3a7b8d...此处省略完整哈希。执行sha256sum phpMyAdmin-5.2.1-all-languages.tar.gz | cut -d -f1输出必须与官网一致。GPG 防篡改SHA256 防密钥被吊销后的中间人攻击双保险。实操心得我曾遇到一次 GPG 校验失败查日志发现是系统时间快了 3 分钟NTP 未同步GPG 认为签名时间在未来直接拒绝。执行sudo ntpdate -s time.nist.gov同步时间后重试即通过。这个细节99% 的教程都不会提。3.2 目录结构规划为什么/var/www/phpmyadmin-5.2.1而不是/usr/share/Ubuntu 的 FHS文件系统层次标准规定/usr/share/存放只读架构无关数据但 phpMyAdmin 的config.inc.php是要写的比如填 MySQL 密码放在/usr/share/违反权限设计原则。更致命的是/usr/share/下的文件属于root:root而 Apache 进程以www-data用户运行若强行chown www-data:www-data /usr/share/phpmyadmin等于把整个 Web 目录的写权限交给 Web 服务一旦 PHP 漏洞被利用攻击者可直接改写index.php。我们的方案是代码目录/var/www/phpmyadmin-5.2.1root:www-data,750配置目录/etc/phpmyadmin/root:www-data,750临时目录/var/lib/phpmyadmin/tmpwww-data:www-data,1733粘滞位防越权这样划分www-data用户对代码目录只有读和执行权r-x对配置目录只有读权r--对 tmp 目录有完整读写权rwx权限边界清晰。执行命令sudo mkdir -p /var/www/phpmyadmin-5.2.1 /etc/phpmyadmin /var/lib/phpmyadmin/tmp sudo chown -R root:www-data /var/www/phpmyadmin-5.2.1 /etc/phpmyadmin sudo chmod -R 750 /var/www/phpmyadmin-5.2.1 /etc/phpmyadmin sudo chown www-data:www-data /var/lib/phpmyadmin/tmp sudo chmod 1733 /var/lib/phpmyadmin/tmp3.3 Apache 配置Alias 与 Location 的组合拳封死所有非法访问很多教程只写一条Alias /phpmyadmin /var/www/phpmyadmin-5.2.1这会导致严重问题攻击者访问http://your-server/phpmyadmin/setup/就能进入安装向导而向导页面会生成可写配置文件等于把数据库密码明文存到 Web 可读目录。我们必须用Location指令精确控制每个子路径的权限。在/etc/apache2/conf-available/phpmyadmin.conf中写Alias /dbadmin /var/www/phpmyadmin-5.2.1 Directory /var/www/phpmyadmin-5.2.1 Options FollowSymLinks DirectoryIndex index.php Require all denied # 默认全部拒绝 /Directory Location /dbadmin Require local Require ip 192.168.1.0/24 # 仅允许内网访问 /Location Location /dbadmin/index.php Require all granted /Location Location /dbadmin/js Require all granted /Location Location /dbadmin/css Require all granted /Location Location /dbadmin/themes Require all granted /Location Location /dbadmin/libraries Require all denied # 禁止直接访问核心库 /Location Location /dbadmin/setup Require all denied # 彻底禁用安装向导 /Location Location /dbadmin/config Require all denied # 禁止访问配置目录 /Location关键点在于Require all denied设为默认策略符合最小权限原则/dbadmin路径只允许可信 IP 访问Require ip比Require local更灵活支持办公网段静态资源js/css/themes放开保证页面正常渲染libraries、setup、config这些敏感路径全部deniedApache 日志里会记录client denied by server configuration便于审计。注意Location指令匹配的是 URL 路径不是文件系统路径所以/dbadmin/libraries对应浏览器地址栏输入http://your-server/dbadmin/libraries/而非服务器上的/var/www/.../libraries/。这个区别新手极易混淆。3.4 PHP 配置强化三个 php.ini 参数堵住 80% 的内存溢出和超时漏洞phpMyAdmin 处理大表导出、SQL 查询时极易触发 PHP 资源限制。Ubuntu 18.04 的默认php.ini/etc/php/7.2/apache2/php.ini中memory_limit 128M、max_execution_time 30、post_max_size 8M这三个值必须调高否则导出 100MB 的 SQL 文件会直接 500 错误。但盲目调高也有风险memory_limit设成2G一个恶意查询就能吃光服务器内存。我的经验是按场景分级设置场景memory_limitmax_execution_timepost_max_size说明日常管理小表查询256M6016M平衡安全与体验批量导出≤500MB 表512M300512M仅在导出前临时启用紧急修复大表碎片整理1024M6001024M需人工确认后开启永久生效的配置写在/etc/php/7.2/apache2/conf.d/phpmyadmin.ini; phpMyAdmin 专用配置 memory_limit 256M max_execution_time 60 post_max_size 16M upload_max_filesize 16M max_input_vars 5000其中max_input_vars 5000是关键phpMyAdmin 的表结构编辑页会为每一列生成一个 HTML input 字段Ubuntu 默认1000超过就截断导致保存表结构失败。这个参数不写在主php.ini而单独建conf.d文件是为了避免影响其他 PHP 应用。3.5 MySQL 连接安全为什么必须创建专用用户而非直接用 root热词里mysql设置唯一已经有重复数据库、mysql 索引优化都指向一个事实生产环境的 MySQL root 用户绝不该暴露给 Web 界面。phpMyAdmin 的配置文件config.inc.php里如果写\$cfg[Servers][1][user] root;等于把最高权限凭证硬编码在 Web 可读文件里。正确做法是创建一个最小权限专用用户CREATE USER pma_adminlocalhost IDENTIFIED BY StrongPass!2024; GRANT SELECT, INSERT, UPDATE, DELETE, CREATE, DROP, INDEX, ALTER, CREATE VIEW, SHOW VIEW ON *.* TO pma_adminlocalhost; FLUSH PRIVILEGES;注意pma_adminlocalhost限定只能本机连接防止网络侧漏不授予FILE、SUPER、PROCESS等高危权限FILE可读写服务器任意文件SUPER可 kill 任意线程SHOW VIEW必须给否则 phpMyAdmin 无法显示视图定义CREATE VIEW给因为用户可能需要建视图辅助分析。然后在config.inc.php中配置$cfg[Servers][1][host] localhost; $cfg[Servers][1][port] ; $cfg[Servers][1][user] pma_admin; $cfg[Servers][1][password] StrongPass!2024; $cfg[Servers][1][auth_type] cookie; // 用 Cookie 认证不存密码在配置里auth_type cookie是重点它让 phpMyAdmin 在登录页输入密码然后用 AES 加密后存入浏览器 Cookie后续请求不再传输明文密码比config模式密码明文写配置安全得多。3.6 HTTPS 强制跳转用 .htaccess 还是 Apache 主配置为什么选后者热词里apache配置文件、apache shiro框架漏洞靶场都暗示配置位置的重要性。.htaccess文件虽灵活但 Ubuntu 18.04 的 Apache 默认关闭AllowOverride All开启它会降低性能每次请求都扫描目录下 .htaccess且.htaccess无法控制 SSL 协议版本等底层参数。所以我们在/etc/apache2/sites-available/000-default-le-ssl.confLets Encrypt 生成的 SSL 配置中直接写IfModule mod_rewrite.c RewriteEngine On RewriteCond %{HTTPS} off RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R301] /IfModule同时在 HTTP 站点配置/etc/apache2/sites-available/000-default.conf中禁用 phpMyAdmin 的 HTTP 访问Location /dbadmin Redirect 403 / /Location这样当用户访问http://your-server/dbadmin直接返回 403 Forbidden连重定向都不给彻底杜绝 HTTP 明文传输可能。而https://your-server/dbadmin则正常加载且 Lets Encrypt 证书自动续期certbot renew --quiet --no-self-upgrade。3.7 防爆破加固fail2ban 规则让暴力破解者 5 次就进小黑屋phpMyAdmin 登录页是常见爆破目标。Ubuntu 18.04 自带 fail2ban但默认规则不监控 phpMyAdmin 日志。我们需要新建/etc/fail2ban/filter.d/phpmyadmin.conf[Definition] failregex ^.*phpMyAdmin.*login.*failed.*from HOST.*$ ignoreregex 再在/etc/fail2ban/jail.local中启用[phpmyadmin] enabled true filter phpmyadmin logpath /var/log/apache2/access.log maxretry 5 bantime 3600 findtime 600 action iptables[namephpmyadmin, porthttp, protocoltcp]解释failregex匹配 Apache 日志中phpMyAdmin login failed from 192.168.1.100这类行maxretry 5表示 10 分钟内findtime 600失败 5 次就触发bantime 3600封禁 1 小时action直接用 iptables 封 IP比修改 hosts 更底层、更难绕过。验证是否生效sudo fail2ban-client status phpmyadmin看到Number of jail matches: 0表示规则已加载。之后故意输错 5 次密码再sudo iptables -L -n | grep 192.168.1.100就能看到封禁记录。4. 实操过程详解从零开始的 12 步完整部署流程4.1 前置检查确认系统状态与依赖完备性执行以下命令逐项验证任一失败则停止后续# 1. 确认 Ubuntu 版本必须是 18.04 lsb_release -a | grep 18.04 # 2. 确认 Apache 已安装且运行 sudo systemctl is-active apache2 # 应输出 active # 3. 确认 PHP 7.2 已启用Ubuntu 18.04 默认 php -v | grep 7.2 # 4. 确认 MySQL 服务正常假设已安装 sudo systemctl is-active mysql # 应输出 active # 5. 确认必要 Apache 模块已启用 apache2ctl -M | grep -E (rewrite|ssl|headers) # 应输出 rewrite_module, ssl_module, headers_module # 6. 确认 PHP 扩展齐全 php -m | grep -E (mysqli|pdo_mysql|mbstring|zip|gd|curl|xml) # 全部必须存在如果php -m缺少mbstring执行sudo apt install php-mbstring缺zip执行sudo apt install php-zip。注意php-gd用于图像验证码php-xml用于 XML 导出都是 phpMyAdmin 功能必需不能省。实操心得我在 AWS EC2 上首次部署时php -m没有curl导致 phpMyAdmin 的“检查更新”功能报错。sudo apt install php-curl解决。这个扩展不常用但 phpMyAdmin 用它检测新版本不装不影响核心功能但会让界面右上角一直显示红色警告图标影响运维观感。4.2 安装 Lets Encrypt 证书HTTPS 基础没有 HTTPSphpMyAdmin 就不该存在。执行sudo apt update sudo apt install certbot python3-certbot-apache sudo certbot --apache -d your-domain.com # 替换为你的域名certbot会自动修改/etc/apache2/sites-available/000-default-le-ssl.conf添加 SSL 配置在/etc/letsencrypt/live/your-domain.com/生成证书文件配置自动续期定时任务/etc/cron.d/certbot。验证浏览器访问https://your-domain.com地址栏应显示绿色锁图标。如果用 IP 访问Lets Encrypt 不签发证书此时需在/etc/hosts临时绑定域名或改用自签名证书仅限内网测试。4.3 下载并校验 phpMyAdmin 5.2.1cd /tmp wget https://files.phpmyadmin.net/phpMyAdmin/5.2.1/phpMyAdmin-5.2.1-all-languages.tar.gz wget https://files.phpmyadmin.net/phpMyAdmin/5.2.1/phpMyAdmin-5.2.1-all-languages.tar.gz.asc # 导入 GPG 密钥若未导入过 gpg --dearmor /usr/share/keyrings/phpmyadmin-keyring.gpg # 校验签名 gpgv --keyring /usr/share/keyrings/phpmyadmin-keyring.gpg \ phpMyAdmin-5.2.1-all-languages.tar.gz.asc \ phpMyAdmin-5.2.1-all-languages.tar.gz # 校验 SHA256官网下载页复制哈希值 echo e3a7b8d... phpMyAdmin-5.2.1-all-languages.tar.gz | sha256sum -c校验通过后解压sudo tar -xzf phpMyAdmin-5.2.1-all-languages.tar.gz -C /var/www/ sudo mv /var/www/phpMyAdmin-5.2.1-all-languages /var/www/phpmyadmin-5.2.14.4 创建并配置专属 MySQL 用户登录 MySQLsudo mysql -u root -p执行 SQL替换StrongPass!2024为强密码CREATE USER pma_adminlocalhost IDENTIFIED BY StrongPass!2024; GRANT SELECT, INSERT, UPDATE, DELETE, CREATE, DROP, INDEX, ALTER, CREATE VIEW, SHOW VIEW ON *.* TO pma_adminlocalhost; FLUSH PRIVILEGES; EXIT;验证用户是否可用mysql -u pma_admin -p -e SELECT VERSION();输入密码后应输出 MySQL 版本号证明连接成功。4.5 配置 phpMyAdmin 主配置文件复制模板sudo cp /var/www/phpmyadmin-5.2.1/config.sample.inc.php /etc/phpmyadmin/config.inc.php编辑/etc/phpmyadmin/config.inc.php关键修改如下用nano或vim// 1. 设置 blowfish_secret必须否则登录页报错 $cfg[blowfish_secret] a1b2c3d4e5f6g7h8i9j0k1l2m3n4o5p6; // 32 字符随机字符串 // 2. 配置 MySQL 服务器使用上一步创建的用户 $cfg[Servers][1][host] localhost; $cfg[Servers][1][port] ; $cfg[Servers][1][user] pma_admin; $cfg[Servers][1][password] ; // 留空用 cookie 认证 $cfg[Servers][1][auth_type] cookie; // 3. 启用压缩导出节省带宽 $cfg[Export][asfile] true; $cfg[Export][compression] gzip; // 4. 禁用危险功能防误操作 $cfg[ShowChgPassword] false; // 隐藏改密码链接 $cfg[SuggestDBName] false; // 禁用数据库名建议blowfish_secret必须设它是 Cookie 加密密钥32 字符随机串可用openssl rand -base64 32生成。$cfg[Servers][1]的索引1是因为config.sample.inc.php里0是空配置1是第一个有效服务器。4.6 创建 Apache 虚拟主机配置创建/etc/apache2/conf-available/phpmyadmin.conf# phpMyAdmin 安全配置 Alias /dbadmin /var/www/phpmyadmin-5.2.1 Directory /var/www/phpmyadmin-5.2.1 Options FollowSymLinks DirectoryIndex index.php Require all denied /Directory Location /dbadmin Require ip 192.168.1.0/24 Require ip 10.0.0.0/8 /Location Location /dbadmin/index.php Require all granted /Location Location /dbadmin/js Require all granted /Location Location /dbadmin/css Require all granted /Location Location /dbadmin/themes Require all granted /Location Location /dbadmin/libraries Require all denied /Location Location /dbadmin/setup Require all denied /Location Location /dbadmin/config Require all denied /Location # 强制 HTTPS仅对 /dbadmin 路径 IfModule mod_rewrite.c RewriteEngine On RewriteCond %{HTTPS} off RewriteCond %{REQUEST_URI} ^/dbadmin RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R301] /IfModule启用配置sudo a2enconf phpmyadmin sudo systemctl reload apache24.7 配置 PHP 专用参数创建/etc/php/7.2/apache2/conf.d/phpmyadmin.ini; phpMyAdmin 优化配置 memory_limit 256M max_execution_time 60 post_max_size 16M upload_max_filesize 16M max_input_vars 5000重启 PHPsudo systemctl restart apache24.8 设置文件权限与所有权# 代码目录 sudo chown -R root:www-data /var/www/phpmyadmin-5.2.1 sudo chmod -R 750 /var/www/phpmyadmin-5.2.1 # 配置目录 sudo chown -R root:www-data /etc/phpmyadmin sudo chmod -R 750 /etc/phpmyadmin # 临时目录 sudo chown www-data:www-data /var/lib/phpmyadmin/tmp sudo chmod 1733 /var/lib/phpmyadmin/tmp验证权限ls -ld /var/www/phpmyadmin-5.2.1 # 应输出drwxr-x--- 12 root www-data 4096 ... ls -l /etc/phpmyadmin/config.inc.php # 应输出-rw-r----- 1 root www-data 1234 ...4.9 启用 fail2ban 防爆破创建/etc/fail2ban/filter.d/phpmyadmin.conf[Definition] failregex ^.*phpMyAdmin.*login.*failed.*from HOST.*$ ignoreregex 编辑/etc/fail2ban/jail.local在末尾添加[phpmyadmin] enabled true filter phpmyadmin logpath /var/log/apache2/access.log maxretry 5 b
