|
Действия ...
Этот баннер — требование Роскомнадзора для исполнения 152 ФЗ.
«На сайте осуществляется обработка файлов cookie, необходимых для работы сайта, а также для анализа использования сайта и улучшения предоставляемых сервисов с использованием метрической программы Яндекс.Метрика. Продолжая использовать сайт, вы даёте согласие с использованием данных технологий».
Политика конфиденциальности
Новые сообщения [новые:0]
Дайджест
Горячие темы
Избранное [новые:0]
Форумы
Пользователи
Статистика
Статистика нагрузки
Мод. лог
Поиск
|
|
17.01.2019, 17:17
|
|||
|---|---|---|---|
Вопрос про права и TRUSTWORTHY(?) |
|||
|
#18+
Такая задача: данные из таблицы одной бд, должны переноситься в таблицу другой бд. Делаться это должно мануально (не автоматически) юзером, у которого нет прав на чтение таблиц (только право на запуск процедуры апдейта). Внутри одной базы для 2- тестовых таблиц все работает без проблем. Когда тестирую таблицы в разных бд, вылазит ошибка из-за TRUSTWORTHY=OFF. Почитал про это свойство и решил, что включать его опасно. Не подскажите, как обойти эту проблему? Спасибо! ... |
|||
|
:
Нравится:
Не нравится:
|
|||
|
|
|
17.01.2019, 17:24
|
|||
|---|---|---|---|
Вопрос про права и TRUSTWORTHY(?) |
|||
|
#18+
да, забыл: Microsoft SQL Server 2017 (RTM-GDR) (KB4293803) - 14.0.2002.14 (X64) Jul 21 2018 07:47:45 Copyright (C) 2017 Microsoft Corporation Enterprise Edition: Core-based Licensing (64-bit) on Windows Server 2016 Datacenter 10.0 <X64> (Build 14393: ) (Hypervisor) ... |
|||
|
:
Нравится:
Не нравится:
|
|||
|
|
|
17.01.2019, 17:37
|
|||
|---|---|---|---|
Вопрос про права и TRUSTWORTHY(?) |
|||
|
#18+
sennНе подскажите, как обойти эту проблему? http://www.sommarskog.se/grantperm.html#crossdb ... |
|||
|
:
Нравится:
Не нравится:
|
|||
|
|
|
17.01.2019, 18:59
|
|||
|---|---|---|---|
|
|||
Вопрос про права и TRUSTWORTHY(?) |
|||
|
#18+
senn, опасно в очень специфических случаях. Думаю, что Ваш туда не входит. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
|
|
|
18.01.2019, 09:56
|
|||
|---|---|---|---|
Вопрос про права и TRUSTWORTHY(?) |
|||
|
#18+
Владислав Колосовsenn, опасно в очень специфических случаях. Думаю, что Ваш туда не входит. не такие уж и специфические случаи. много где раздают db_owner-ов направо и налево. уж куда меньше проблем будет, если просто базы зачейнить ... |
|||
|
:
Нравится:
Не нравится:
|
|||
|
|
|
18.01.2019, 12:27
|
|||
|---|---|---|---|
|
|||
Вопрос про права и TRUSTWORTHY(?) |
|||
|
#18+
Yasha123, много где все ходят на сервер под sa :) ... |
|||
|
:
Нравится:
Не нравится:
|
|||
|
|
|
18.01.2019, 12:31
|
|||
|---|---|---|---|
Вопрос про права и TRUSTWORTHY(?) |
|||
|
#18+
Владислав КолосовYasha123, много где все ходят на сервер под sa :) там, где все ходят под sa, нет проблем с непопаданием в соседнюю базу ... |
|||
|
:
Нравится:
Не нравится:
|
|||
|
|
|
21.01.2019, 14:33
|
|||
|---|---|---|---|
Вопрос про права и TRUSTWORTHY(?) |
|||
|
#18+
Владислав Колосов, да, я вот тоже надеюсь, что это не мой случай, т.к. способы обхода нравятся мне еще меньше. Круг пользователей и разработчиков очень ограничен. С правами sa вообще только 3 человека. Сервер и базы видны только внутри интранет сети (наружу ничего не идет). Я, к сожалению, не специалист в безопасности, поэтому и хотел перестраховаться. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
|
|
|
21.01.2019, 14:51
|
|||
|---|---|---|---|
Вопрос про права и TRUSTWORTHY(?) |
|||
|
#18+
Yasha123, пробовал зачейнить. Почему-то не сработало. Схема такая: 1. В базе А есть исходная таблица, в базе В - таблица, которая обновляется (через truncate) содержанием первой. Делается это запуском хп-ки (с WITH EXECUTE AS OWNER) , на которую у юзера-оператора есть права на запуск. Больше у этого юзера никаких прав нет. Сама процедура находится в базе В и запускает запрос типа INSERT INTO База_B.dbo.AAA SELECT ... FROM База_A.dbo.AAA. Должен ли в этой ситуации работать чейнинг или для этого юзеру нужны права не только на запуск хп, но и на оъекты? Спасибо! ... |
|||
|
:
Нравится:
Не нравится:
|
|||
|
|
|
21.01.2019, 14:55
|
|||
|---|---|---|---|
Вопрос про права и TRUSTWORTHY(?) |
|||
|
#18+
sennда, я вот тоже надеюсь, что это не мой случайКогда он станет вашим, будет уже поздно. Если же выбрали вариант с trustworthy. исходя из минимизации собственных телодвижений по реализации задачи, то, хотя бы, не давайте владельцам БД администраторские разрешения. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
|
|
|
21.01.2019, 16:23
|
|||
|---|---|---|---|
|
|||
Вопрос про права и TRUSTWORTHY(?) |
|||
|
#18+
senn, риски состоят в следующем - если базу можно незаметно detach, заменить хорошие CLR на плохие, сделать attach, то плохие CLR могут наделать бед. То же самое касается эскалации прав пользователя до админа, если пользователь входит в группу владельцев базы или может выполнить "универсальную процедуру всего" от имени dbo, сделав инъекцию кода, а базой владеет сисадмин. Другие риски мне неизвестны, может кто-то еще подскажет. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
|
|
|
21.01.2019, 21:03
|
|||
|---|---|---|---|
Вопрос про права и TRUSTWORTHY(?) |
|||
|
#18+
Владислав Колосовsenn, риски состоят в следующем - если базу можно незаметно detach, заменить хорошие CLR на плохие, сделать attach, то плохие CLR могут наделать бед. не могут, потому что как раз для этого trustworthy и нужен. у вновь приаттаченой БД он всегда false пока админ не сделает ее снова доверенной То же самое касается эскалации прав пользователя до админа, если пользователь входит в группу владельцев базы или может выполнить "универсальную процедуру всего" от имени dbo, сделав инъекцию кода, а базой владеет сисадмин. Другие риски мне неизвестны, может кто-то еще подскажет. в первую очередь риски связаны с олицетворением. кстати стоит заметить, что бы повысить права до сисадмина не обязательно что бы овнер бд тоже был сисадмином, ему будет достаточно authenticate server ... |
|||
|
:
Нравится:
Не нравится:
|
|||
|
|
|
22.01.2019, 19:06
|
|||
|---|---|---|---|
|
|||
Вопрос про права и TRUSTWORTHY(?) |
|||
|
#18+
felix_ff, админ-то должен сделать доверенной, чтобы CLR функционал работал. И среди хороших активируется троянская. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
|
|
|
27.01.2019, 03:52
|
|||
|---|---|---|---|
Вопрос про права и TRUSTWORTHY(?) |
|||
|
#18+
senn Почему-то не сработало. Надеюсь владелец обойх баз/схем одинаков? Динамический запрос? https://docs.microsoft.com/en-us/dotnet/framework/data/adonet/sql/enabling-cross-database-access-in-sql-server Dynamic SQL Cross-database ownership chaining does not work in cases where dynamically created SQL statements are executed unless the same user exists in both databases. You can work around this in SQL Server by creating a stored procedure that accesses data in another database and signing the procedure with a certificate that exists in both databases. This gives users access to the database resources used by the procedure without granting them database access or permissions. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
|
|
|
start [/forum/topic.php?fid=46&mobile=1&tid=1688389]: |
0ms |
get settings: |
9ms |
get forum list: |
20ms |
check forum access: |
3ms |
check topic access: |
3ms |
track hit: |
51ms |
get topic data: |
11ms |
get forum data: |
3ms |
get page messages: |
66ms |
get tp. blocked users: |
1ms |
| others: | 234ms |
| total: | 401ms |
| 0 / 0 |
