কেন phpMyAdmin লাইভ সার্ভার এমনকি লোকালেও ইউজ করা উচিত নয়?

আমরা অনেকেই লোকাল এবং লাইভ সার্ভারে phpMyAdmin ব্যবহার করে থাকি। তবে যদি সঠিকভাবে সিকিউরিটি নিশ্চিত করা না যায়, এটি একটি বড় ঝুঁকির কারণ হয়ে দাঁড়াতে পারে। আমার মতে, phpMyAdmin ব্যবহার একেবারে বাদ দেওয়া উচিত। আমি সংক্ষেপে আমার একটি অভিজ্ঞতা শেয়ার করছি।

(VPS সার্ভারের PHPMyAdmin ইউজ করা কতটা যুক্তিযুক্ত? লেখাটি পড়ার পর ভাবলাম আমার অভিজ্ঞতা শেয়ার করি।)

phpMyAdmin ছাড়া অন্য কিছুই আমার ভালো লাগতো না। ২০১৪ থেকে ২০১৯ পর্যন্ত লোকাল ও লাইভ উভয় পরিবেশেই এটি ব্যবহার করেছি। ২০১৮ সালে ফুল-টাইম জব শুরু করি। ২০১৯ সালের শুরুতে VPS সার্ভার সেটআপ শেখা শুরু করি।

আমাদের কোম্পানির প্রোডাকশন সার্ভারে phpMyAdmin ছিল না। সার্ভার অ্যাডমিন ছিলেন কানাডার, এবং তিনি অত্যন্ত দক্ষ ছিলেন (তখনই তার ১০ বছরের সার্ভারের অভিজ্ঞতা ছিল)। আমি তাকে কয়েকবার phpMyAdmin সেটআপ করে দিতে বলেছিলাম, কিন্তু তিনি রাজি হননি। phpMyAdmin ছাড়া আমি আসলে কাজ করতে পারতাম না!

সার্ভার সেটআপ মোটামুটি শিখে ২০১৯ সালে আমাদের কোম্পানির প্রোডাকশন সার্ভারে আমি phpMyAdmin সেটআপ করি। কে জানতো, আমি যেন হ্যাকারদের জন্য মধুর চাক বানিয়ে দিলাম। phpMyAdmin-এর vulnerabilities সম্পর্কে আমার কোনো ধারণা ছিল না। যা হওয়ার তাই হলো!

আমার এই সেটআপের কারণে আমাদের কোম্পানির ৫০০০+ পাউন্ড সমমূল্যের গিফট কার্ড হ্যাকাররা হ্যাক করে নিয়ে যায়। কয়েক সপ্তাহ ধরে টানা রিসার্চের পর এবং হ্যাকারদের সাথে চ্যাট করে এক পর্যায়ে জানতে পারি যে, হ্যাকাররা phpMyAdmin ব্যবহার করেই সিস্টেমের অ্যাক্সেস পেয়েছিল। এই কয়েকটি সপ্তাহ ছিল আমার জীবনের এক বিভীষিকা। পুরো ঘটনা লিখলে অনেক বড় হয়ে যাবে।

যাই হোক, তারপর থেকে এখন পর্যন্ত লাইভ বা লোকাল কোথাও phpMyAdmin ব্যবহার করিনি। phpMyAdmin দেখলেই ২০১৯ সালের সেই অভিজ্ঞতা মনে পড়ে। ২০১৯ থেকে আমি সবসময় DataGrip ব্যবহার করছি।

লোকালেও phpMyAdmin ব্যবহার করা উচিত নয়, কারণ এতে অভ্যাস হয়ে যায়। DBeaver, Workbench, DataGrip, TablePlus ইত্যাদি টুল ব্যবহার করতে পারেন।

লাইভ সার্ভারের সাথে কীভাবে সিকিউরলি DataGrip, TablePlus ব্যবহার করবেন, সে বিষয়ে অন্য কোনো দিন লিখবো, ইনশা-আল্লাহ।

হ্যাকারের সাথে কিভাবে চ্যাট করেছিলাম, তার একটি স্ক্রিনশট শেয়ার করছি।

13 Likes

ওয়াও। এইসব ঘটনা থেকে আমাদের আসলে শিক্ষা নেওয়া উচিৎ। বিশেষ করে যারা নতুন VPS শিখে তাঁরা অনেকেই লিনাক্সে ব্যসিক সিকিউরিটি সম্পর্কে অবগত না হয়েই কিছু না কিছু ইনস্টল করে ফেলে। যার কারণে সিকিউরিটি হোল তৈরি হয়। আপনার লিখাটি পড়ে ভাল লাগল। আমাদের কমিউনিটিতে এইধরণের বাস্তব অভিজ্ঞতা সম্পর্ক নলেজ খুব প্রয়োজন।
আমি আমার ঐ লিখাটা মূলত লিখেছিলাম এই কারণেই সিকিউরিটি বিষয়টা মাথায় রেখেই। ধন্যবাদ আপনাকে শেয়ার করার জন্য আপনার ঘটনাটি

4 Likes

আপনাকেও ধন্যবাদ ভাই। আপনার লেখাটি পড়েই শেয়ার করার কথা ভাবলাম। সিকিউরিটি রিলিটেড আরও কিছু বাস্তব অভিজ্ঞতা হয়েছে, মাঝে মাঝে শেয়ার করবো, ইনশা-আল্লাহ।

আপনিও শেয়ার করবেন, আশা করি অনেকের উপকার হবে, বিশেষ করে নতুনদের জন্য।

5 Likes

অনেক সুন্দর একটি লেখা। ধন্যবাদ এরকম সুন্দর একটি পোস্ট শেয়ার করার জন্য। অনেক কিছু জানতে পারলাম।

2 Likes

প্রোডাকশন সার্ভারে এমন কোন জিনিস ইনস্টল করা উচিত না যেটা পুরো ডাটাবেসকে এক্সপোজ করে দিতে পারে। ইভেন ডাটাবেসের পোর্টটা যাতে বাইরে থেকে এক্সেস করা না যায় সেটাই করা উচিত।

একান্ত যদি প্রোডাকশন ডাটাবেস এক্সেস করা লাগে আমি দুইটার একটা করে:
১। SSH ইউজ করে আমার ফেভারিট টুল টেবিলপ্লাসে কানেক্ট করি
২। যদি SSH এক্সেস না থাকে (যেমন RDS), Bastion Host / জাম্পবক্স ইউজ করি।

3 Likes

ধন্যবাদ ভাই। তখন একদমই বিগিনার ছিলাম, সিকিউরিটি নিয়ে কোনো ধারণা ছিল না।

  • এখন যেকোনো পোর্ট ওপেন করার আগে সব দিক বিবেচনা করে ওপেন করি।
  • সবসময় চেষ্টা করি সার্ভারে অপ্রয়োজনীয় GUI টুলস ব্যবহার না করতে।
2 Likes

Khub vlo likhen vai…dhonnobad

1 Like

ওয়েবসাইট সিকিউরিটি অনেক বেশি গুরুত্বপূর্ণ। একটু ভুলের কারনে বছরের পর বছরের পরিশ্রম বৃথা যায়। মাঝে মাঝে সময় করে সিকিউরিটি বিষয় গুলো শেয়ার করবেন ভাই, ধন্যবাদ।

1 Like