powered by simpleCommunicator - 2.0.60     © 2026 Programmizd 02
Целевая тема:
Создать новую тему:
Автор:
Закрыть
Цитировать
Форумы / Microsoft SQL Server [игнор отключен] [закрыт для гостей] / Вопрос про права и TRUSTWORTHY(?)
14 сообщений из 14, страница 1 из 1
Вопрос про права и TRUSTWORTHY(?)
    #39761061
senn
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Участник
Такая задача: данные из таблицы одной бд, должны переноситься в таблицу другой бд. Делаться это должно мануально (не автоматически) юзером, у которого нет прав на чтение таблиц (только право на запуск процедуры апдейта). Внутри одной базы для 2- тестовых таблиц все работает без проблем. Когда тестирую таблицы в разных бд, вылазит ошибка из-за TRUSTWORTHY=OFF. Почитал про это свойство и решил, что включать его опасно.

Не подскажите, как обойти эту проблему?

Спасибо!
...
Рейтинг: 0 / 0
Вопрос про права и TRUSTWORTHY(?)
    #39761063
senn
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Участник
да, забыл:
Microsoft SQL Server 2017 (RTM-GDR) (KB4293803) - 14.0.2002.14 (X64) Jul 21 2018 07:47:45 Copyright (C) 2017 Microsoft Corporation Enterprise Edition: Core-based Licensing (64-bit) on Windows Server 2016 Datacenter 10.0 <X64> (Build 14393: ) (Hypervisor)
...
Рейтинг: 0 / 0
Вопрос про права и TRUSTWORTHY(?)
    #39761068
invm
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Участник
sennНе подскажите, как обойти эту проблему? http://www.sommarskog.se/grantperm.html#crossdb
...
Рейтинг: 0 / 0
Вопрос про права и TRUSTWORTHY(?)
    #39761116
Владислав Колосов
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Участник
senn,

опасно в очень специфических случаях. Думаю, что Ваш туда не входит.
...
Рейтинг: 0 / 0
Вопрос про права и TRUSTWORTHY(?)
    #39761265
Фотография Yasha123
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Участник
Владислав Колосовsenn,

опасно в очень специфических случаях. Думаю, что Ваш туда не входит.
не такие уж и специфические случаи.
много где раздают db_owner-ов направо и налево.
уж куда меньше проблем будет, если просто базы зачейнить
...
Рейтинг: 0 / 0
Вопрос про права и TRUSTWORTHY(?)
    #39761404
Владислав Колосов
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Участник
Yasha123,

много где все ходят на сервер под sa :)
...
Рейтинг: 0 / 0
Вопрос про права и TRUSTWORTHY(?)
    #39761411
Фотография Yasha123
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Участник
Владислав КолосовYasha123,

много где все ходят на сервер под sa :)
там, где все ходят под sa,
нет проблем с непопаданием в соседнюю базу
...
Рейтинг: 0 / 0
Вопрос про права и TRUSTWORTHY(?)
    #39762381
senn
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Участник
Владислав Колосов,

да, я вот тоже надеюсь, что это не мой случай, т.к. способы обхода нравятся мне еще меньше.

Круг пользователей и разработчиков очень ограничен. С правами sa вообще только 3 человека. Сервер и базы видны только внутри интранет сети (наружу ничего не идет). Я, к сожалению, не специалист в безопасности, поэтому и хотел перестраховаться.
...
Рейтинг: 0 / 0
Вопрос про права и TRUSTWORTHY(?)
    #39762401
senn
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Участник
Yasha123,

пробовал зачейнить. Почему-то не сработало.
Схема такая:
1. В базе А есть исходная таблица, в базе В - таблица, которая обновляется (через truncate) содержанием первой. Делается это запуском хп-ки (с WITH EXECUTE AS OWNER) , на которую у юзера-оператора есть права на запуск. Больше у этого юзера никаких прав нет. Сама процедура находится в базе В и запускает запрос типа INSERT INTO База_B.dbo.AAA SELECT ... FROM База_A.dbo.AAA.

Должен ли в этой ситуации работать чейнинг или для этого юзеру нужны права не только на запуск хп, но и на оъекты?

Спасибо!
...
Рейтинг: 0 / 0
Вопрос про права и TRUSTWORTHY(?)
    #39762404
invm
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Участник
sennда, я вот тоже надеюсь, что это не мой случайКогда он станет вашим, будет уже поздно.

Если же выбрали вариант с trustworthy. исходя из минимизации собственных телодвижений по реализации задачи, то, хотя бы, не давайте владельцам БД администраторские разрешения.
...
Рейтинг: 0 / 0
Вопрос про права и TRUSTWORTHY(?)
    #39762442
Владислав Колосов
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Участник
senn,

риски состоят в следующем - если базу можно незаметно detach, заменить хорошие CLR на плохие, сделать attach, то плохие CLR могут наделать бед. То же самое касается эскалации прав пользователя до админа, если пользователь входит в группу владельцев базы или может выполнить "универсальную процедуру всего" от имени dbo, сделав инъекцию кода, а базой владеет сисадмин. Другие риски мне неизвестны, может кто-то еще подскажет.
...
Рейтинг: 0 / 0
Вопрос про права и TRUSTWORTHY(?)
    #39762551
felix_ff
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Участник
Владислав Колосовsenn,

риски состоят в следующем - если базу можно незаметно detach, заменить хорошие CLR на плохие, сделать attach, то плохие CLR могут наделать бед.

не могут, потому что как раз для этого trustworthy и нужен. у вновь приаттаченой БД он всегда false пока админ не сделает ее снова доверенной

То же самое касается эскалации прав пользователя до админа, если пользователь входит в группу владельцев базы или может выполнить "универсальную процедуру всего" от имени dbo, сделав инъекцию кода, а базой владеет сисадмин. Другие риски мне неизвестны, может кто-то еще подскажет.


в первую очередь риски связаны с олицетворением.

кстати стоит заметить, что бы повысить права до сисадмина не обязательно что бы овнер бд тоже был сисадмином, ему будет достаточно authenticate server
...
Рейтинг: 0 / 0
Вопрос про права и TRUSTWORTHY(?)
    #39763057
Владислав Колосов
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Участник
felix_ff,

админ-то должен сделать доверенной, чтобы CLR функционал работал. И среди хороших активируется троянская.
...
Рейтинг: 0 / 0
Вопрос про права и TRUSTWORTHY(?)
    #39765423
Col
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Участник
senn Почему-то не сработало.

Надеюсь владелец обойх баз/схем одинаков?
Динамический запрос?
https://docs.microsoft.com/en-us/dotnet/framework/data/adonet/sql/enabling-cross-database-access-in-sql-server Dynamic SQL
Cross-database ownership chaining does not work in cases where dynamically created SQL statements are executed unless the same user exists in both databases. You can work around this in SQL Server by creating a stored procedure that accesses data in another database and signing the procedure with a certificate that exists in both databases. This gives users access to the database resources used by the procedure without granting them database access or permissions.
...
Рейтинг: 0 / 0
14 сообщений из 14, страница 1 из 1
Форумы / Microsoft SQL Server [игнор отключен] [закрыт для гостей] / Вопрос про права и TRUSTWORTHY(?)
Найденые пользователи ...
Разблокировать пользователей ...
Читали форум (0):
Пользователи онлайн (0):
x
x
Закрыть


Просмотр
0 / 0
Close
Debug Console [Select Text]