Период между сообщениями больше года.
|
|
|
ограничение доступа
|
|||
|---|---|---|---|
|
#18+
Можно ли ограничить пользователя таким образом, что бы он работал только с одним конкретным приложением, запретить попытки обращения к базе с других приложений ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 20.11.2003, 16:25 |
|
||
|
ограничение доступа
|
|||
|---|---|---|---|
|
#18+
Полноценно - нет, а все выдрючивания можно обойти. Кстати, запретить попытки уж никак нельзя ;-) ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 20.11.2003, 17:20 |
|
||
|
ограничение доступа
|
|||
|---|---|---|---|
|
#18+
Создать роли, дающие возможность пользователю работать с базой. Дать эти роли пользователю, но не по умолчанию. Включать эти роли(alter session set role) только в приложении. Лишить доступа к sqlplus и т.п. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 21.11.2003, 06:05 |
|
||
|
ограничение доступа
|
|||
|---|---|---|---|
|
#18+
Повесить на событие On Login в Oracle проверку приложения, и дальше либо пускать либо нет. (не проверял, но по моему это возможно). ---- Oracle 9.2.0.1.0 вероятно что я и не прав. но backup я уже сделал... ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 21.11.2003, 10:13 |
|
||
|
ограничение доступа
|
|||
|---|---|---|---|
|
#18+
Любые команды SQL (да и весь трафик к Oracle), можно посмотреть и выполнить все те же команды, которые делает "секретное приложение" из любой другой программы (хоть самому можно написать) - и все, пшик ваша защита. Полноценно не защитить, а от бабушки 50-летней, конечно, еще как-то можно. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 21.11.2003, 14:27 |
|
||
|
ограничение доступа
|
|||
|---|---|---|---|
|
#18+
2 Markelenkov не уверен.. похоже, что команды "повышенонной секретности" не попадают в v$sql. или вы имеете в виду разбор именно сетевого трафика? Код: plaintext 1. 2. 3. 4. 5. 6. 7. 8. 9. 10. 11. 12. 13. 14. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 21.11.2003, 14:40 |
|
||
|
ограничение доступа
|
|||
|---|---|---|---|
|
#18+
2 Markelenkov Можно сварганить собственный протокол логона аля Керберос и зашить его в своё приложение. Другим приложением это не повторить будет. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 21.11.2003, 14:48 |
|
||
|
ограничение доступа
|
|||
|---|---|---|---|
|
#18+
под sys создаешь следующий триггер CREATE OR REPLACE TRIGGER trg$logon AFTER LOGON ON DATABASE when (user not in ('SYS','SYSTEM')) DECLARE ln_sid NUMBER; user_name VARCHAR2(30); os_user VARCHAR2(30); program_z VARCHAR2(30); BEGIN SELECT sid INTO ln_sid FROM v$mystat WHERE ROWNUM < 2 ; SELECT v$session.username , v$session.osuser , v$session.program into user_name, os_user, program_z FROM v$session WHERE v$session.sid = ln_sid AND v$session.username = USER; IF LTRIM(USER_name)=' SCOTT ' and program_z<> 'TOAD.exe' then RAISE_APPLICATION_ERROR ( -20905, 'Вас возможность работать только в TOAD'); end if ; end; можешь навернуть на него что угодно например вход только с опреденнного терминала и т.д. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 21.11.2003, 15:25 |
|
||
|
ограничение доступа
|
|||
|---|---|---|---|
|
#18+
2 alexa_s берем файл hack_oracle.exe и переименовываем его в Toad.exe как будем держать оборону, товарищ полковник? ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 21.11.2003, 15:31 |
|
||
|
ограничение доступа
|
|||
|---|---|---|---|
|
#18+
to alexa\r \r Триггер будет работать только если у SCOTT нет роли DBA\r \r grant/revoke dba в триггере\r \r PS\r Кроме того это можно обойти переименованием sqlplus.exe в toad.exe.\r \r Код: plaintext 1. 2. 3. 4. 5. 6. 7. 8. 9. 10. 11. 12. 13. 14. 15. 16. 17. 18. 19. 20. 21. 22. 23. 24. 25. 26. 27. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 21.11.2003, 15:37 |
|
||
|
ограничение доступа
|
|||
|---|---|---|---|
|
#18+
Этож только пример незачем пользователю показавать все насвете что он имеет права или неимеет права ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 21.11.2003, 15:50 |
|
||
|
ограничение доступа
|
|||
|---|---|---|---|
|
#18+
эх.. вы не знаете этих пользователей. такие проныры.. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 21.11.2003, 15:54 |
|
||
|
ограничение доступа
|
|||
|---|---|---|---|
|
#18+
И спросит тогда пользователь тварь я дрожащая или право имею ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 21.11.2003, 15:56 |
|
||
|
ограничение доступа
|
|||
|---|---|---|---|
|
#18+
и спустится с небес DBA и исполнит молитвы страждущего. и наступит тогда во всей информационной системе рай, благоухание и компот. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 21.11.2003, 16:00 |
|
||
|
ограничение доступа
|
|||
|---|---|---|---|
|
#18+
To Barkovsky В v$sql и в подобные места не попадает только пароль пользователя (если я не забыл что-нибудь). To alexa_s Да, можно еще свой сетевой протокол написать, свою криптографию навесить, запретить юзерам пользоваться отладчиками. Так можно дойти и до того, что легче что-то вместо Oracle самому написать. Вся проблема в том, что программа работает на клиенте , и имя программы идет от клиента. А он на своем компе может сделать все, что его душеньке угодно. Вот если вы на его машине уберете FDD, CD-ROM, уберете всякие C++, Delphi и прочая и прочая... Чтобы он, зараза, не мог ничего сам написать и принести откуда-нибудь - опечатать все нафиг. И охранника к каждому юзеру надо приставить, ведь найдется гад, который в простом редакторе наберет exe-файл (сляпаный, к примеру, дома) и запустит его. В общем, или работа, или такая защита. А ради чего? ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 21.11.2003, 19:00 |
|
||
|
ограничение доступа
|
|||
|---|---|---|---|
|
#18+
тогда логично предположить, что если роль защищенна паролем, то при Код: plaintext следовательно, если зашить alter session set role в исполняемом коде, то доступ пользователям (не DBA) будет только из этого приложения. не вижу граблей на этом пути:) ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 21.11.2003, 19:15 |
|
||
|
ограничение доступа
|
|||
|---|---|---|---|
|
#18+
Да v$sql здесь совсем ни причем. Он простым юзерам не должен быть виден. Да я же привел пример - перехватываем, сидя на своей машине сетевой трафик, все команды SQL можно записать в trace-файл. И Оракловая криптография не поможет, т.к. можно, конечно, не дать прав юзеру на изменение sqlnet.ora, но право установить нужную ему переменную окружения tns_admin у него не отобрать. После чего криптография отключается. Поэтому здесь катит только предложение от KonstN с маленьким уточнением - писать свою криптографию и на сервере и на клиенте. Но и против этого существует отладчик, при помощи которого все отсылаемые на сервер команды и алгоритм шифрования вскрываются. А так как вся защита будет основана на незнании юзером выдаваемых приложением команд и на алгоритме шифрования, а не на ключе - пишу свою программу и пшик всей затее. Ну никак Oracle не узнает ничего о свойствах (в том числе и об имени exe-файла и пр.) программы клиента, если она ему сама об этом не расскажет! Затраченные усилия на надежную реализацию требований, требуемых автором вопроса, наверняка не стоят этого. А от дурака можно придумать и 100 вариантов - описанные выше, вставка в "секретную" таблицу "секретной" строчки... ... :-)) ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 21.11.2003, 19:51 |
|
||
|
ограничение доступа
|
|||
|---|---|---|---|
|
#18+
Да у вас не юзера - хакеры какие-то Для обычных юзеров достаточно триггер на logon и проверка DBMS_APPLICATION.SET_MODULE (по-моему так). А хакер - он и в африке хакер. Захочет - зайдет. Другое дело, что этих хакеров надо производить в должность системных программистов, не давать никаких задач (или дать откровенно тупую) и сделать вид, что очень ждем результатов. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 22.11.2003, 06:01 |
|
||
|
ограничение доступа
|
|||
|---|---|---|---|
|
#18+
Да у меня-то юзеры обычные, бог миловал ;-) Просто я по себе сужу - что бы я делал, если б мне сказали: "Дружок, вот тебе TOAD, и да наступит тебе феличита, а все другое - от Лукавого". Я же сразу сказал - полноценнно (т.е. на 99% хотя бы) я не знаю, как сделать. А от дурака - 100 способов можно придумать. Пока что хорошего и простого способа никто не предложил. Думаю, и не предложат. Ждем-с... ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 22.11.2003, 14:18 |
|
||
|
ограничение доступа
|
|||
|---|---|---|---|
|
#18+
подскажите плз, можно ли запретить юзеру с ролью DBA доступ к em? иначе говоря, доступ к em должен быть только у SYS-а (as sysdba) можно ли так сделать? ps. oracle 11g ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 11.05.2017, 01:38 |
|
||
|
ограничение доступа
|
|||
|---|---|---|---|
|
#18+
dekloper, Возникает резонный вопрос - зачем пользователю роль, к инструменту выполнения которой он не должен иметь доступ? Может разумнее забрать у этого пользователя роль DBA, выданную ему скорее всего из-за отсутствия понимания необходимых для его задач привилегий? ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 11.05.2017, 09:50 |
|
||
|
ограничение доступа
|
|||
|---|---|---|---|
|
#18+
Для сведения: все, что можно сделать через EM, можно сделать без EM. Разумеется, при определенной квалификации юзера. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 11.05.2017, 09:57 |
|
||
|
ограничение доступа
|
|||
|---|---|---|---|
|
#18+
envdekloper, скорее всего из-за отсутствия понимания необходимых для его задач привилегий? 100% так и есть.. если б кто точно знал что надо для работы нашего кривософта, вопросов бы не было... tru55Для сведения: все, что можно сделать через EM, можно сделать без EM. Разумеется, при определенной квалификации юзера. сведения известные: мне скл+ за глаза хватает.. нужна именно защита от.. обезъяны с гранатой.. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 11.05.2017, 11:25 |
|
||
|
ограничение доступа
|
|||
|---|---|---|---|
|
#18+
dekloper, Триггер на логон с проверкой приложения и хоста. Будет мина замедленного действия, но зато в том же духе говнокода, что уже есть. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 11.05.2017, 11:36 |
|
||
|
ограничение доступа
|
|||
|---|---|---|---|
|
#18+
dekloper100% так и есть.. если б кто точно знал что надо для работы нашего кривософта, вопросов бы не было... для кривософта должна быть тестовая среда. ее нереально развернуть??? ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 11.05.2017, 11:36 |
|
||
|
ограничение доступа
|
|||
|---|---|---|---|
|
#18+
env, дык вроде говорят с ролью дба триггеры не срабатывают.. Violinato alexa Триггер будет работать только если у SCOTT нет роли DBA grant/revoke dba в триггере PS Кроме того это можно обойти переименованием sqlplus.exe в toad.exe. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 11.05.2017, 12:01 |
|
||
|
ограничение доступа
|
|||
|---|---|---|---|
|
#18+
Q.Tarantinodekloper100% так и есть.. если б кто точно знал что надо для работы нашего кривософта, вопросов бы не было... для кривософта должна быть тестовая среда. ее нереально развернуть??? есть конечно.. тока там тестятся более страшные вещи.. невозможность работы без дба привилегии у нас пока не считается кривизной.. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 11.05.2017, 12:05 |
|
||
|
ограничение доступа
|
|||
|---|---|---|---|
|
#18+
dekloperдык вроде говорят с ролью дба триггеры не срабатывают.. алиона очепаталась. Событийные триггеры не прерывают действо только для SYSа. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 11.05.2017, 12:17 |
|
||
|
ограничение доступа
|
|||
|---|---|---|---|
|
#18+
dekloperQ.Tarantinoпропущено... для кривософта должна быть тестовая среда. ее нереально развернуть??? есть конечно.. тока там тестятся более страшные вещи.. невозможность работы без дба привилегии у нас пока не считается кривизной.. ну раз наличие роли DBA не критично, то тему можно закрывать :) ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 11.05.2017, 12:33 |
|
||
|
ограничение доступа
|
|||
|---|---|---|---|
|
#18+
аз сисьдбаdekloperдык вроде говорят с ролью дба триггеры не срабатывают.. алиона очепаталась. Событийные триггеры не прерывают действо только для SYSа.Для имеющих ADMINISTER DATABASE TRIGGER ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 11.05.2017, 13:38 |
|
||
|
ограничение доступа
|
|||
|---|---|---|---|
|
#18+
Aliona,Violina - это разные люди ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 11.05.2017, 13:54 |
|
||
|
ограничение доступа
|
|||
|---|---|---|---|
|
#18+
dba123Aliona,Violina - это разные люди ...кхм..если сравнить 2 профиля, то Aliona есьм Violina, в..кхм..девичестве, imho.. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 15.05.2017, 12:44 |
|
||
|
ограничение доступа
|
|||
|---|---|---|---|
|
#18+
а мне на этом форуме советовали fgac)) хорошая такая штука, которой парвда нельзя злоупотреблять)) у вас же для отдельного приложения свой отдельный пользователь, под которым оно коннектиться к схеме ? написать процедуру, которая будет выдавать фигу конкретно этому пользователю не ? норм мысль? ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 16.05.2017, 10:56 |
|
||
|
ограничение доступа
|
|||
|---|---|---|---|
|
#18+
Ozornitcaмне советовали fgac...правда нельзя злоупотреблять ... будет выдавать фигу конкретно этому пользователю use FGAC with EM (кузькина мать или фига с маслом) "Вертит Очками fgac так и сяк: То к темю их прижмет, то их на хвост нанижет, То их понюхает, то их полижет;" ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 16.05.2017, 12:00 |
|
||
|
ограничение доступа
|
|||
|---|---|---|---|
|
#18+
ViewerOzornitcaмне советовали fgac...правда нельзя злоупотреблять ... будет выдавать фигу конкретно этому пользователю use FGAC with EM (кузькина мать или фига с маслом) "Вертит Очками fgac так и сяк: То к темю их прижмет, то их на хвост нанижет, То их понюхает, то их полижет;" да блин, я же сказала - не злоупотребляя) можно ли навесить fgac на процесс авторизации ? там же тоже обращается к системной какой таблице с логинами паролями? ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 16.05.2017, 12:29 |
|
||
|
ограничение доступа
|
|||
|---|---|---|---|
|
#18+
вообще тут принято отвечать то стихами, то выписками из классической прозы... эрудированный форум! ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 16.05.2017, 12:31 |
|
||
|
ограничение доступа
|
|||
|---|---|---|---|
|
#18+
dekloperподскажите плз, можно ли запретить юзеру с ролью DBA доступ к em? dekloperмне скл+ за глаза хватает.. нужна именно защита от.. обезъяны с гранатой.. Лучшее средство от перхоти: ./emctl stop dbconsoleTo access the Oracle Enterprise Manager Console from a client browser, the dbconsole process needs to be running on the server. Starting and Stopping the Oracle Enterprise Manager Console ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 16.05.2017, 12:58 |
|
||
|
ограничение доступа
|
|||
|---|---|---|---|
|
#18+
Ozornitcaа мне на этом форуме советовали fgac)) хорошая такая штука, которой парвда нельзя злоупотреблять)) у вас же для отдельного приложения свой отдельный пользователь, под которым оно коннектиться к схеме ? написать процедуру, которая будет выдавать фигу конкретно этому пользователю не ? норм мысль? Ozornitcaпо моему - это вы пренебрегаете элементарными логическими рассуждениями со своими выводами : у вас все работают под владельцем (феерично), затем - у пользователей есть что-то кроме навигатора ... я валяюсь, чесслово Довольно просто сделать приложение с несколькими схемами Например, клиент-серверное приложение: - изъяты все any privileges от известных тебе людей - пользователи оракловые, со своими профилями(смена пароля, лимиты..) --имеют привилегию create session, как минимум, для ЕЕ достаточно) - схема данных OZDATA(таблицы, представления, OZPROC(пакеты, процедуры), триггеры ...) пользователь заблокирован - схема ограниченного доступа OZSECURITY (таблицы логов/аудита, представления, пакеты, процедуры, триггеры) пользователь заблокирован --имеет возможность создавать новых пользователей --раздавать им права от имени других - пользователь OZPROXY для прокси подключения к схеме данных - созданы роли для любых производственных групп(как минимум, у всех insert в АУД/ЛОГ табле) Даже синонимы не нужны(если нет тестовых схем). Юзер зашел в приложение ,попал в схему OZDATA ,имеет доступ к данным/процедурам в этой схеме согласно ролям. Вот теперь можно использовать разграничение доступа к таблицам на уровне строк или меток. Что сложного в такой структуре? ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 16.05.2017, 13:15 |
|
||
|
ограничение доступа
|
|||
|---|---|---|---|
|
#18+
dba123, Это вы кому... столько много букв... и цитата из 19197817 к чему? ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 16.05.2017, 13:31 |
|
||
|
ограничение доступа
|
|||
|---|---|---|---|
|
#18+
Viewer, Это всё ей на вопрос "у вас же для отдельного приложения свой отдельный пользователь, под которым оно коннектиться к схеме ?" ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 16.05.2017, 13:42 |
|
||
|
ограничение доступа
|
|||
|---|---|---|---|
|
#18+
dba123Ozornitcaа мне на этом форуме советовали fgac)) хорошая такая штука, которой парвда нельзя злоупотреблять)) у вас же для отдельного приложения свой отдельный пользователь, под которым оно коннектиться к схеме ? написать процедуру, которая будет выдавать фигу конкретно этому пользователю не ? норм мысль? Ozornitcaпо моему - это вы пренебрегаете элементарными логическими рассуждениями со своими выводами : у вас все работают под владельцем (феерично), затем - у пользователей есть что-то кроме навигатора ... я валяюсь, чесслово Довольно просто сделать приложение с несколькими схемами Например, клиент-серверное приложение: - изъяты все any privileges от известных тебе людей - пользователи оракловые, со своими профилями(смена пароля, лимиты..) --имеют привилегию create session, как минимум, для ЕЕ достаточно) - схема данных OZDATA(таблицы, представления, OZPROC(пакеты, процедуры), триггеры ...) пользователь заблокирован - схема ограниченного доступа OZSECURITY (таблицы логов/аудита, представления, пакеты, процедуры, триггеры) пользователь заблокирован --имеет возможность создавать новых пользователей --раздавать им права от имени других - пользователь OZPROXY для прокси подключения к схеме данных - созданы роли для любых производственных групп(как минимум, у всех insert в АУД/ЛОГ табле) Даже синонимы не нужны(если нет тестовых схем). Юзер зашел в приложение ,попал в схему OZDATA ,имеет доступ к данным/процедурам в этой схеме согласно ролям. Вот теперь можно использовать разграничение доступа к таблицам на уровне строк или меток. Что сложного в такой структуре? очень интересно вопрос: если приложений много больше 5- для каждого создавать по несколько схем ? а вообще честно говоря что-то я плохо ориентируюсь в нарисованной вами архитектуре, надо мне чет почитать. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 16.05.2017, 14:35 |
|
||
|
ограничение доступа
|
|||
|---|---|---|---|
|
#18+
Ozornitca, как хочешь - можно ролями разделить - можно именами схем, я сделал бы именно так, выделив общие схемы Для теста создай 4 файла и наполняй их с появлением новых знаний Код: plsql 1. 2. 3. 4. 5. 6. 7. 8. 9. 10. 11. 12. 13. 14. 15. 16. 17. 18. 19. 20. 21. 22. 23. 24. 25. 26. 27. 28. 29. 30. 31. 32. 33. 34. 35. 36. 37. 38. 39. 40. 41. 42. 43. 44. 45. 46. 47. 48. 49. 50. 51. 52. 53. 54. 55. 56. 57. 58. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 16.05.2017, 16:19 |
|
||
|
|
start [/forum/search_topic.php?author=KPOK&author_mode=last_posts&do_search=1]: |
0ms |
get settings: |
9ms |
get forum list: |
16ms |
get settings: |
10ms |
get forum list: |
20ms |
check forum access: |
4ms |
check topic access: |
4ms |
track hit: |
201ms |
get topic data: |
13ms |
get forum data: |
3ms |
get page messages: |
102ms |
get tp. blocked users: |
2ms |
| others: | 489ms |
| total: | 873ms |
| 0 / 0 |
