|
|
|
Т.О. (Тематический оффтоп)
|
|||
|---|---|---|---|
|
#18+
Я, конечно, мало что видел, но, как правило, народ не заморачивается: sysdba/masterke и - вперёд, на мины. С другой стороны, не так уж и сложно завести отдельный логин для создания и обслуживания базы (условно - Владыка) и понасоздавать в нужных количествах "рабочих пользователей" (условно - Работяга, РаботягаРаз ...). Сначала Код: plaintext 1. 2. 3. 4. 5. 6. 7. 8. 9. 10. 11. Обслуживание Код: plaintext 1. 2. 3. 4. 5. Вот, например, всякие ОРМы/Эксперты "лазают" по метаданным. У владельца прав доступа точно есть, у "работяги"? Явно выдавать или вообще схема не пригодна для разработки? P.S. К "устаревшему" gsec - не придираться ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 16.09.2018, 08:52 |
|
||
|
Т.О. (Тематический оффтоп)
|
|||
|---|---|---|---|
|
#18+
Basil A. Sidorov, а что роли для работяг уже не рассматриваются? ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 16.09.2018, 12:34 |
|
||
|
Т.О. (Тематический оффтоп)
|
|||
|---|---|---|---|
|
#18+
Basil A. SidorovЯвно выдавать или вообще схема не пригодна для разработки? как показывает практика, нет, непригодна. Владыка должен озаботиться правами на создание и модификацию объектов (в ФБ 3 это есть), но всё равно разрешение создать таблицу не ограничивает создателя в их количестве - 1 или сотню. Поэтому самая правильная разработка выглядит так: 1. разработчики проверяют процедуры и прочее на тестовой базе. 2. после проверки скрипт на создание объектов отдается "генеральному скриптоводу", например почтой. 3. генеральный скриптовод применяет скрипты на рабочей базе. Тут польз. несколько. Известно, кто и что создал (и накосячил в тексте, и т.д.), так что люли в процессе выдаются адресно. Генеральный скриптовод сам ничего не создает и не правит. Как-то так (схема не моя). ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 16.09.2018, 13:08 |
|
||
|
Т.О. (Тематический оффтоп)
|
|||
|---|---|---|---|
|
#18+
Basil A. Sidorov, кстати, к "владельцу", отличному от SYSDBA, претензий не имею. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 16.09.2018, 13:08 |
|
||
|
Т.О. (Тематический оффтоп)
|
|||
|---|---|---|---|
|
#18+
kdv, А сейчас есть способ сменить владельца БД способом, отличным от пересоздания из скрипов? ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 16.09.2018, 13:59 |
|
||
|
Т.О. (Тематический оффтоп)
|
|||
|---|---|---|---|
|
#18+
Шавлюк Евгений, нет. А зачем? Ну будет у тебя Sidorov, работать как Pupkin, остальные аттрибуты пользователя в том числе и пароль можно поменять. Не хочешь чтобы пользователи на фамилию были завязаны ну так придумай им абстрактные имена, типа MydatabaseGod ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 16.09.2018, 14:06 |
|
||
|
Т.О. (Тематический оффтоп)
|
|||
|---|---|---|---|
|
#18+
Симонов Денис, У меня все базы созданы от имени SYSDBA, и вот хочется завести "Владыку" :) ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 16.09.2018, 14:08 |
|
||
|
Т.О. (Тематический оффтоп)
|
|||
|---|---|---|---|
|
#18+
Шавлюк Евгений, ну вот и сделай владыку конкретной БД, только чтобы имя пользователя на человека не было завязано, тогда и менять не надо будет. kdvВладыка должен озаботиться правами на создание и модификацию объектов (в ФБ 3 это есть), ИХМО, самая большая польза от этого как раз в обратном: кто угодно не может создавать объекты БД. Вряд ли кто-то будет раздавать права по принципу: ты можешь создавать таблицы, а ты процедуры. Скорее просто дадут роль RDB$ADMIN сразу на всё. Ну или в 4.0 сделают специальную административную роль (там права администратора можно дробить). ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 16.09.2018, 14:15 |
|
||
|
Т.О. (Тематический оффтоп)
|
|||
|---|---|---|---|
|
#18+
Шавлюк ЕвгенийУ меня все базы созданы от имени SYSDBA, и вот хочется завести "Владыку" :) облом. насколько я помню - только пересоздать из скрипта и скопировать данные. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 16.09.2018, 14:18 |
|
||
|
Т.О. (Тематический оффтоп)
|
|||
|---|---|---|---|
|
#18+
kdvШавлюк ЕвгенийУ меня все базы созданы от имени SYSDBA, и вот хочется завести "Владыку" :) облом. насколько я помню - только пересоздать из скрипта и скопировать данные.Разве рестор с нужным логином не изменит владельца БД ? ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 16.09.2018, 14:48 |
|
||
|
Т.О. (Тематический оффтоп)
|
|||
|---|---|---|---|
|
#18+
hvladРазве рестор с нужным логином не изменит владельца БД ? он-то изменит, но все объекты останутся созданы от SYSDBA. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 16.09.2018, 15:13 |
|
||
|
Т.О. (Тематический оффтоп)
|
|||
|---|---|---|---|
|
#18+
kdvhvladРазве рестор с нужным логином не изменит владельца БД ? он-то изменит, но все объекты останутся созданы от SYSDBA.Речь шла о владельце БД, а не объектов. Честно говоря, не совсем понимаю предмет обсуждения... О чём спор\вопрос ? :) ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 16.09.2018, 15:49 |
|
||
|
Т.О. (Тематический оффтоп)
|
|||
|---|---|---|---|
|
#18+
Речь о безопасности и об ограничении прав до минимально необходимых . Есть владелец базы. Он и только он создаёт объекты в этой базе, меняет их, выдаёт права и роли, делает, проверяет и (не дай бог) восстанавливает бэкапы. Есть клиентское приложение (сервер приложений), которые работают с базой под совершенно другим(и) логином(ами). Клиенты ограничены правами их учётных записей и выданных им ролей. Это не защита от владельца системы, который знает учётные данные владельца базы - это защита от пользователей системы. Необязательно от злонамеренных - излишне любопытные тоже не подарок. Понятно, что "взять и переделать" существующую систему - сложно или просто невозможно. Но, предположим, что создаётся новая система - "взлетит или нет" такая схема? Ведь, как минимум, отладки и тестирования станет заметно больше. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 16.09.2018, 17:09 |
|
||
|
Т.О. (Тематический оффтоп)
|
|||
|---|---|---|---|
|
#18+
Basil A. Sidorov, Ну сначала надо понять какой у тебя FB. Если 3.0 то там с этим всё в порядке. Только администраторы (в том числе владелец БД) могут создавать объекты БД. Ну по крайней мере по умолчанию, можно конечно и другим пользователем дать привилегии на создание отдельных типов объектов метаданных, но думаю это мало кому требуется. если 2.5 и ниже, то там с этим плохо. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 16.09.2018, 17:28 |
|
||
|
Т.О. (Тематический оффтоп)
|
|||
|---|---|---|---|
|
#18+
Basil A. Sidorov, по умозрительной статистике - ан масс всё от SYSDBA - при SYSDBA всё-таки бывают отдельные юзеры - еще часть систем - с OWNER. - от них малая часть - с дополнительными юзерами Чтобы всё прям было разграничено по юзерам в смысле юзеров ФБ - редкость. Впрочем, я думал что речь идет про разработку, а не production, мой предыдущий коммент был именно про неё. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 16.09.2018, 20:27 |
|
||
|
|
start [/forum/topic.php?fid=40&msg=39703083&tid=1560979]: |
0ms |
get settings: |
9ms |
get forum list: |
13ms |
check forum access: |
4ms |
check topic access: |
4ms |
track hit: |
54ms |
get topic data: |
12ms |
get forum data: |
3ms |
get page messages: |
53ms |
get tp. blocked users: |
2ms |
| others: | 295ms |
| total: | 449ms |
| 0 / 0 |
