如何配置phpMyAdmin开启双因素认证_2FA功能依赖与安全加固
phpMyAdmin 4.9+ 版本才支持原生 2FA
如果你还在用低于 4.9.0 的老版本,那基本就不用琢磨这个功能了——系统里压根找不到 two_factor 的配置入口。即便你手动去改配置文件,也是白费功夫,不会生效。官方正是从这个版本开始,才集成了基于时间的一次性密码(TOTP)方案。不过,它依赖两个关键的 PHP 扩展:ext-gmp 和 ext-openssl。这两个扩展缺了任何一个,登录页面就会毫不客气地给你报错:two-factor authentication is not a vailable。
免费影视、动漫、音乐、游戏、小说资源长期稳定更新! 👉 点此立即查看 👈
具体操作时,建议按这个顺序来排查:
- 先确认版本:
grep -o 'Version.*[0-9]\+\.[0-9]\+' /path/to/phpmyadmin/libraries/Config.class.php - 再检查扩展是否启用:
php -m | grep -E '^(gmp|openssl)$'。这里有个常见的坑:Apache 用的 PHP 配置和命令行(CLI)的配置可能不是同一套。 - 如果用的是 Docker 环境,别以为在容器里装上扩展就万事大吉了。务必确认
php.ini里没有禁用它们,extension=gmp.so和extension=openssl.so这两行必须生效。
启用 2FA 后用户必须手动绑定,无自动 fallback
功能一旦开启,所有用户在首次登录时都会看到一个二维码和密钥。但系统不会自动跳转,也不会强制提示用户去绑定。这就埋下了一个隐患:如果用户不小心刷新了页面、关掉了扫码窗口,或者误点了“跳过”按钮,那么他的账号就会被卡在登录状态之外。关键是,phpMyAdmin 不会提供任何回退到普通密码登录的选项。后台也没有一键关闭的开关,遇到这种情况,要么去删除数据库里的绑定记录,要么只能手动重置。
下面这些是部署后经常遇到的“幺蛾子”:
- 手机扫描显示成功,但验证就是通不过:十有八九是服务器时间不同步。试试
ntpdate -s time.nist.gov同步一下,或者启用systemd-timesyncd服务。 - 明明已经绑定了,下次登录还要求二次验证:检查一下
$cfg['Servers'][$i]['auth_type']这个配置项,必须设为cookie模式,因为http认证模式根本不支持 2FA。 - 管理员账号(比如
root)死活登不进去:这是因为root用户默认并没有启用 2FA。你需要先用另一个有管理权限的账号登录,然后进入「用户账户」界面,找到对应用户「编辑权限」,在里面勾选「启用双因素认证」才行。
config.inc.php 中必须显式开启 two_factor 配置项
这一点至关重要,phpMyAdmin 不会自作聪明地去猜测或默认开启 2FA。换句话说,就算你的 PHP 扩展齐全、版本也够新,只要在配置文件里漏写了下面这一行,所有功夫都等于白费:
$cfg['TwoFactor'] = true;
注意,配置项是 $cfg['TwoFactor'],大小写敏感,别写成 $cfg['two_factor']。另外,它属于全局配置,不能塞到 $cfg['Servers'] 这个服务器数组里面去。还有个细节值得留意:如果你同时设置了 $cfg['LoginCookieValidity'](登录Cookie有效期),建议把它调到 1800 秒(30分钟)或更短。否则,即使用户通过了 TOTP 验证,过长的登录状态也会削弱双因素认证的安全效果。
性能方面倒不用担心,每次登录只是多了一次 HMAC-SHA1 计算,对现在的服务器,哪怕是低配 VPS,也几乎感觉不到影响。兼容性上,一些旧版本的 Firefox 浏览器(
备份恢复时容易丢掉 2FA 绑定信息
用户绑定的那些密钥信息,都存放在 phpmyadmin 这个系统数据库的 user_config 表里,具体是在 config_data 字段中,以 JSON 格式存储,里面就包含了 two_factor_secret。问题在于,常规的 mysqldump 备份命令默认不会导出这个数据库,而且它也不包含除了 --routines --triggers --events 之外的元数据。结果就是,当你把备份恢复后,用户会发现自己的账号虽然显示“已启用 2FA”,但用原来的二维码却怎么也扫不出来了。
所以,安全加固的同时,备份策略也得跟上:
- 备份命令必须明确指定数据库:
mysqldump --databases phpmyadmin > pma-backup.sql - 绝对不要把
config.inc.php这个配置文件放在 Web 服务器能直接访问到的目录下。尤其是里面的$cfg['blowfish_secret']这个密钥,一旦泄露,user_config表里的加密内容就可能被破解。 - 如果你的环境使用了 LDAP 或 HTTP 认证集成,需要明白一点:2FA 仅作用于 phpMyAdmin 自身的登录层,它不会去接管上游的认证流程。
最后,还有一个最容易被忽略的步骤:修改完所有配置后,记得清空一下浏览器的 Cookie 和本地存储。否则,前端可能还缓存着旧的登录逻辑,导致你看到的现象好像是功能没生效,白白折腾半天。
相关攻略
phpMyAdmin 4 9+ 版本才支持原生 2FA 如果你还在用低于 4 9 0 的老版本,那基本就不用琢磨这个功能了——系统里压根找不到 two_factor 的配置入口。即便你手动去改配置文件,也是白费功夫,不会生效。官方正是从这个版本开始,才集成了基于时间的一次性密码(TOTP)方案。不过
该漏洞编号为FG-IR-19-283(即CVE-2020-12812),最初于2020年7月披露并修复。但最新监测发现,威胁分子正针对特定未修复配置的企业成功利用此漏洞。 Fortinet近日发布警
热门专题
热门推荐
在网络信息的浩瀚海洋中,热门文章总是吸引着无数人的目光 而蛙漫,这个备受关注的平台,其在线阅读入口自然成了许多读者探寻的焦点。怎么找到它,进去之后又能看到什么?咱们这就来聊聊。 蛙漫的魅力所在 简单来说,蛙漫的魅力在于它的“全”。这里就像一个内容集市,汇聚了各类精彩文章,题材包罗万象。你想看情节跌宕
指乎账号注销全流程详解 决定告别指乎,准备注销账号?这个操作确实需要谨慎,毕竟一旦完成,所有数据都将无法找回。下面,我们就来把注销账号的完整路径和关键细节,给你理得清清楚楚。 第一步:进入个人中心 首先,打开指乎App。在主界面底部导航栏,找到那个醒目的“我的”标签,点击进入。这里是你管理个人账号一
出行计划有变?一文读懂12306车票改签手续费 行程临时调整,车票改签是常事。但改签手续费怎么算,常常让人摸不着头脑。今天,我们就来把铁路12306的改签收费规则彻底讲清楚,让你下次改签时心里有本明白账,既不错过时机,也不花冤枉钱。 开车前48小时以上改签 如果你的行程变动得早,这可是最理想的改签窗
考研备考的得力助手:考研必题库App深度解析 在考研这场持久战中,选对工具往往能让复习效率倍增。今天要聊的这款考研必题库App,正是许多备考学子口中那个能“事半功倍”的得力助手。 海量真题:备考的核心资源库 说到备考,什么资源最金贵?历年真题绝对排在首位。这款App的核心优势之一,便是汇聚了各大学科
在无名骑士团这款游戏中,符文的选择对于各职业的发展至关重要 玩过《无名骑士团》的朋友都知道,职业强不强,一半看操作,另一半就得看符文怎么搭。一套合理的符文组合,往往能让你角色的战斗力产生质变,无论是刷本还是PK,都能更加得心应手。 战士职业符文选择 作为团队前排的绝对核心,战士的定位非常明确:既要扛