|
Права администратора app server 1C
|
||
|---|---|---|
Участник
Откуда: р.Москва, д.МО
Сообщения: 1 260 |
||
| 19.04.2013, 06:53 |
|
|
Этот баннер — требование Роскомнадзора для исполнения 152 ФЗ.
«На сайте осуществляется обработка файлов cookie, необходимых для работы сайта, а также для анализа использования сайта и улучшения предоставляемых сервисов с использованием метрической программы Яндекс.Метрика. Продолжая использовать сайт, вы даёте согласие с использованием данных технологий».
Политика конфиденциальности
|
|
|
Права администратора app server 1C
|
|||
|---|---|---|---|
|
#18+
Коллеги, просвятите пожалуйста, может ли администратор кластера (сервера) получить доступ к информационным базам. 1С 8.2, апп сервер и сервер баз данных разнесены по различнам машинам, администатор сервера 1С имеет права только на него и ни на какие ресурсы более. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 17.04.2013, 11:42 |
|
||
|
Права администратора app server 1C
|
|||
|---|---|---|---|
|
#18+
narval, Он должен иметь роль DB creator в MS SQL, чтобы сервер приложений мог создать БД под ним на сервере БД. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 19.04.2013, 06:53 |
|
||
|
Права администратора app server 1C
|
|||
|---|---|---|---|
|
#18+
SpellBuilder, предполагается, админ сервера 1С не имеет авторизации на ms sql server, базы на апп сервер прицеплены до него, и добавление/удаление их из списка информационных баз нет требуется. Вопрос в том - может ли человек которому дали административные права на севрер 1С передприятия и на локальную машину на котолрой он установлен, получить несанкционированный доступ к сущестующим базам. Ну как пример - понятно что в файлике 1CV8Reg.lst лежат логины/закриптованные пароли подключений к sql server, и грамотный специалист может воссатновить пароли и получить полный доступ к базе. Но будем считать что это не так уж просто, и случай очевидный. А еще? Какие либо другие возможности существуют, более простые и незатейливые? ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 19.04.2013, 09:07 |
|
||
|
Права администратора app server 1C
|
|||
|---|---|---|---|
|
#18+
narval, Для того, чтобы с базой что-то делать из консоли администрирования, даже просто посмотреть, что там с сеансами-подключениями творится - нужно подключение под конкретным логином, которому доступны какие-то роли. Как минимум,вероятно - с возможностью внешнего соединения (к интерфейсам администрирования). Если в ролях этого пользователя запуска клиентов не будет - то в режим Предприятие он не попадет. А что еще необходимо - проверить экспериментально. И в консоли администрирования (чтобы доступно было), и в Конфигураторе (чтобы ничего лишнего - ни Пользователей, ни Загрузки-Выгрузки) ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 19.04.2013, 09:28 |
|
||
|
Права администратора app server 1C
|
|||
|---|---|---|---|
|
#18+
pail, справедливо, но это касается 1С авторизации, но это ведь не единственный возможный путь получения доступа. Как снимается любой пароль любого пользователя базы 1С, с помощью учетки sql server имеющей доступ к этой базе объяснять думаю не надо. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 19.04.2013, 09:36 |
|
||
|
Права администратора app server 1C
|
|||
|---|---|---|---|
|
#18+
narval, Авторизацию пользователя средствами 1С можно закрыть, оставить только доменную. Прямого доступа к базе sql у пользователя не будет, Вы это уже предусмотрели, да и не нужен он никогда, кроме создания базы. Доступ к данным сервера приложений (который под отдельной учетной записью работает) - у пользователся закрыт. Доступа ни к каким справочникам-документам-регистрам для роли администратора сервера не давать - и подключившись к базе внешним соединением с известной авторизазией, никаких данных не прочитать. Что тут еще можно сломать, как ещё влезть? Остается только сговор с другим оператором, с получением чужого логина/пароля, но тут орг.мерами пресекать, а не техническими. Впрочем, можно еще блокировать запуск клиентской части 1C (1cv8[c].exe) этим вашим администратором на его машине. Чтобы даже наличие чужого пароля бесполезно было. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 19.04.2013, 10:02 |
|
||
|
Права администратора app server 1C
|
|||
|---|---|---|---|
|
#18+
narval, О! вот что еще может сделать злонамеренный администратор: получить доступ к данным действующей базы без параметров подключения к sql он не сможет, а вот удалить базу, да с очисткой или разрушением - пожалуй, сможет. А еще может подменить БД, перенацелив существующую базу 1С на другую sql-базу, если ему известно подключение к другому серверу БД. Упражнения в подборе пароля для закрытого (для него) sql-сервера тоже возможны ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 19.04.2013, 10:09 |
|
||
|
Права администратора app server 1C
|
|||
|---|---|---|---|
|
#18+
pail, любопытная мысль, с перенацеливанием. И действительно, это возможно. Сенькс, да, дырка. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 19.04.2013, 10:19 |
|
||
|
Права администратора app server 1C
|
|||
|---|---|---|---|
|
#18+
narvalpail, любопытная мысль, с перенацеливанием. И действительно, это возможно. Сенькс, да, дырка. ...и при определенном стечении обстоятельств так можно получить всю базу в полное распоряжение ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 19.04.2013, 10:22 |
|
||
|
Права администратора app server 1C
|
|||
|---|---|---|---|
|
#18+
pail, я бы усилил утверждение. При довольно несложных манипулциях - можно легко и просто получить доступ уже к настоящему серверу. Короче вопрос исчерпан, одновременное использование сервера 1С / машины на которой он установлен администраторами разных подразделений абсолютно недопустимо. Спасибо ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 19.04.2013, 10:27 |
|
||
|
|
start [/forum/topic.php?fid=28&msg=38232144&tid=1519884]: |
0ms |
get settings: |
9ms |
get forum list: |
11ms |
check forum access: |
3ms |
check topic access: |
3ms |
track hit: |
158ms |
get topic data: |
8ms |
get forum data: |
2ms |
get page messages: |
36ms |
get tp. blocked users: |
1ms |
| others: | 279ms |
| total: | 510ms |
| 0 / 0 |
