數(shù)據(jù)庫(kù)服務(wù)器安全的權(quán)限操控戰(zhàn)略(一) |
發(fā)布時(shí)間:2024-07-10 文章來(lái)源:本站 瀏覽次數(shù):968 |
任何服務(wù)器安全與功能是兩個(gè)主題。作為企業(yè)信息化安全人員,其主要任務(wù)便是怎么樣在確保服務(wù)器功能前提下又進(jìn)步服務(wù)器安全性。而要做到這一點(diǎn),服務(wù)器的拜訪權(quán)限操控戰(zhàn)略無(wú)疑是其間的一個(gè)重要環(huán)節(jié)。筆者企業(yè)近上了一臺(tái)新的數(shù)據(jù)庫(kù)服務(wù)器,我為他規(guī)劃了一些權(quán)限操控手段。這些辦法雖然不能夠百分之百的確保數(shù)據(jù)庫(kù)服務(wù)器的安全性,可是,這些仍然是數(shù)據(jù)庫(kù)服務(wù)器安全戰(zhàn)略中必不可少的要素。他對(duì)進(jìn)步數(shù)據(jù)庫(kù)服務(wù)器的安全性有著不可磨滅的效果。
其實(shí)這些操控戰(zhàn)略,不光對(duì)數(shù)據(jù)庫(kù)服務(wù)器有用;對(duì)其他的使用服務(wù)器仍然具有參考價(jià)值。
1、給用戶頒發(fā)其所需求的小權(quán)限
不要給數(shù)據(jù)庫(kù)用戶供給比其需求的還要多的權(quán)限。換句話說,只給用戶真實(shí)需求的、為高效和簡(jiǎn)潔地完結(jié)作業(yè)所需求的權(quán)限。這個(gè)道理很簡(jiǎn)單了解。這就好像防止職業(yè)貪婪一樣。
如從數(shù)據(jù)庫(kù)服務(wù)器的視點(diǎn)來(lái)考慮這個(gè)問題,這就要求數(shù)據(jù)庫(kù)辦理員在設(shè)置用戶拜訪權(quán)限的時(shí)分,注意如下幾個(gè)方面的問題。
一是要約束數(shù)據(jù)庫(kù)辦理員用戶的數(shù)量。在任何一個(gè)服務(wù)器中,辦理員具有高的權(quán)限。為了讓數(shù)據(jù)庫(kù)維持正常的運(yùn)轉(zhuǎn),有必要給數(shù)據(jù)庫(kù)裝備辦理員賬戶。不然的話,當(dāng)數(shù)據(jù)庫(kù)呈現(xiàn)毛病的時(shí)分,就沒有適宜的用戶對(duì)其進(jìn)行保護(hù)了?墒,這個(gè)辦理員賬戶的數(shù)量要嚴(yán)厲進(jìn)行約束。不能為了貪圖方便,把各個(gè)用戶都設(shè)置成為辦理員。如筆者企業(yè),在一臺(tái)數(shù)據(jù)庫(kù)服務(wù)器中運(yùn)行著兩個(gè)實(shí)例,可是,只有一個(gè)數(shù)據(jù)庫(kù)辦理員擔(dān)任數(shù)據(jù)庫(kù)的日常保護(hù)。所以,就只有一個(gè)辦理員賬戶。
二是選擇適宜的賬戶連接到數(shù)據(jù)庫(kù)。一般數(shù)據(jù)庫(kù)的拜訪權(quán)限能夠經(jīng)過兩種辦法進(jìn)行操控。一是經(jīng)過前臺(tái)使用程序。也便是說,其連接到數(shù)據(jù)庫(kù)是一個(gè)一致的賬戶,如辦理員賬戶;可是,在前臺(tái)使用程序中設(shè)置了一些關(guān)卡,來(lái)操控用戶的拜訪權(quán)限。這種辦法雖然能夠減少前臺(tái)程序開發(fā)的作業(yè)量,可是,關(guān)于數(shù)據(jù)庫(kù)服務(wù)器的安滿是不利的。二是在前臺(tái)程序中,就直接使用職工賬戶的賬號(hào)登陸到數(shù)據(jù)庫(kù)體系。這種做法雖然能夠進(jìn)步數(shù)據(jù)庫(kù)的安全性,可是,其前臺(tái)裝備的作業(yè)量會(huì)比較繁瑣。而筆者往往選用折中的辦法。在數(shù)據(jù)庫(kù)中有兩類賬戶,一類是辦理員賬戶,只有前臺(tái)體系辦理員才能夠使用這類賬戶登陸到數(shù)據(jù)庫(kù)體系。別的一類是一般賬戶,其雖然能夠拜訪數(shù)據(jù)庫(kù)中的所有非體系目標(biāo),可是,他們不能夠?qū)?shù)據(jù)庫(kù)體系的運(yùn)行參數(shù)進(jìn)行修正。然后詳細(xì)數(shù)據(jù)目標(biāo)的拜訪,則經(jīng)過前臺(tái)使用程序操控。如此,前臺(tái)使用程序一般職工只需求經(jīng)過同一個(gè)賬戶連接到數(shù)據(jù)庫(kù)體系。而體系辦理員若需求進(jìn)行體系保護(hù),如數(shù)據(jù)庫(kù)體系備份與還原,則能夠經(jīng)過數(shù)據(jù)庫(kù)辦理員賬戶連接到數(shù)據(jù)庫(kù)體系。則即方便了前臺(tái)使用程序的裝備功率,又進(jìn)步了數(shù)據(jù)庫(kù)服務(wù)器的安全性。總之,我們的目的便是要約束以數(shù)據(jù)庫(kù)辦理員身份連接到數(shù)據(jù)庫(kù)的用戶數(shù)量。
在其他使用服務(wù)器中,也有辦理員賬戶與一般賬戶之分。在權(quán)限分配的時(shí)分,也好只給用戶頒發(fā)其需求的小權(quán)限,以確保數(shù)據(jù)庫(kù)服務(wù)器的安全。
2、取消默許賬戶不需求的權(quán)限
在建立賬戶的時(shí)分,服務(wù)器往往給給其一些默許的權(quán)限。如在數(shù)據(jù)庫(kù)中,Public是頒發(fā)每個(gè)用戶的默許人物。任何用戶,只要沒有指定詳細(xì)的人物,則其都能夠頒發(fā)Public組的權(quán)限。這其間,還包括履行各種SQL句子的權(quán)限。如此,用戶就有或許使用這個(gè)辦理漏洞,去拜訪那些不允許他們直接拜訪的包。因?yàn)檫@個(gè)默許權(quán)限,關(guān)于那些需求他們并且需求適宜裝備和使用他們的使用來(lái)說,是非常有用的,所以,體系默許情況下,并沒有禁止?墒,這些包或許不適合與其他使用。故,除非絕對(duì)的需求,不然就應(yīng)該從默許缺點(diǎn)中刪除。
也便是說,一般某個(gè)賬戶的默許權(quán)限,其是比較大的。如關(guān)于數(shù)據(jù)庫(kù)來(lái)說,其賬戶的默許權(quán)限便是能夠拜訪所有的非體系目標(biāo)表。數(shù)據(jù)庫(kù)規(guī)劃的時(shí)分,主要是為了考慮新建用戶的方便。并且,新建用戶的時(shí)分,數(shù)據(jù)庫(kù)確實(shí)也無(wú)法辨認(rèn)這個(gè)用戶究竟能夠拜訪哪些用戶目標(biāo)?墒,關(guān)于企業(yè)使用體系來(lái)說,若給每個(gè)職工都默許具有這么大的拜訪權(quán)限,那則是很不安全的。
筆者的做法是,會(huì)把使用體系的默許用戶權(quán)限設(shè)置為小,有些甚至把默許用戶權(quán)限全部取消掉。這就迫使服務(wù)器辦理員在建立賬戶的時(shí)分,給賬戶指定辦理員預(yù)先設(shè)定的人物。這就能夠有用的防止辦理員“偷閑”。在建立賬戶的時(shí)分,不指定人物。 |
|