Странности с правами доступа, магии не бывает, в чем может быть проблема? / Microsoft SQL Server

ReSQL.ru

Мобильная версия Контакт Правила FAQ Помощь

Гость

Войти | Регистрация | Профиль | Очистить

Новые сообщения | Избранное

Форумы | Пользователи | Статистика | Мод. лог | Поиск

Цитировать

Написать

Автор*:

Ввести пароль для входа

Тема*:

Сообщение

Данное сообщение тематическое

Сообщение содержит картинки или видео 18+

Автор:

ВНИМАНИЕ! На данном подфоруме действуют строгие правила. Удостоверьтесь, что ваше сообщение соответствует им!

Форум или тема закрыты для гостей. Необходима авторизация!

Загрузить последнюю сохраненную версию

Вложение:

Вставить как галерею

Максимальный размер вложений: 4,0 МБ, аудио/видео: 8,0 МБ. Картинки большего размера ужимаются, если возможно.

Введите код, изображенный на картинке. Если код нечитаемый, кликните картинку, чтобы загрузить другой вариант.

Отправляя сообщение, я выражаю свое согласие с правилами форума и принимаю пользовательское соглашение.

Доб. в избранное | Игнор. тему | Прикреп. тему | Пометить прочит. / непрочит. | Фильтр

Форумы / Microsoft SQL Server [игнор отключен] [закрыт для гостей] / Странности с правами доступа, магии не бывает, в чем может быть проблема?

10 сообщений из 10, страница 1 из 1

Странности с правами доступа, магии не бывает, в чем может быть проблема?

#40049032

teCa

Участник

Сообщения: 1 075

Рейтинг: 0 / 0

Началось всё с того, что пользователь получил ошибку:

авторСерверу-участнику "DOMAIN\web-design" не удалось обратиться к базе данных "db_photoreports" в текущем контексте безопасности.

Я со своей студии делаю запрос:

Код: sql

1.
2.
3.
4.

execute as user = 'DOMAIN\web-design'
go
use [db_photoreports]
go

К базе подключаюсь, всё отлично, в это же время другой администратор со своей студии выполняет тот же запрос и получает ту же ошибку.

Ок. Происходит запуск хранимки, которая ссылается на эту табличку из другой базы, пробую подключиться к базе, в которой лежит хранимка:

Код: sql

1.
2.
3.
4.

execute as user = 'DOMAIN\web-design'
go
use [db_nkc]
go

Теперь я получаю ту же ошибку, у второго администратора напротив, к db_nkc из под пользователя DOMAIN\web-design доступ есть.

Те, у с моей студии есть доступ к db_photoreports но нет к db_nkc, у второго человека есть доступ к db_nkc, но нет к db_photoreports из под пользователя DOMAIN\web-design.

Просим те же запросы выполнить третьего человека, у него ошибка и с той и с другой базой.

Выполняю:

Код: sql

1.
2.
3.

USE db_photoreport ;
GO
GRANT CONNECT TO 'DOMAIN\web-design';

Результата нет
Пробую

Код: sql

1.
2.
3.

USE db_photoreport ;
GO
GRANT CONNECT TO guest;

Подключается успешно у всех...

Код: sql

1.
2.
3.

USE db_photoreport ;
GO
DENY CONNECT TO guest;

Опять, у кого то подключается, у кого то нет.

Проблема вылезла сегодня, ну может вчера. Ну прям магия какая то, но понятно, что магии не бывает и причину нужно найти.

...

Рейтинг:

0 / 0

26.02.2021, 16:14

| Ответить | Цитировать | Написать

Странности с правами доступа, магии не бывает, в чем может быть проблема?

#40049052

msLex

Участник

Сообщения: 8 523

Рейтинг: 0 / 0

teCa,

Код: sql

execute as login = ...

...

Рейтинг:

0 / 0

26.02.2021, 16:52

| Ответить | Цитировать | Написать

Странности с правами доступа, магии не бывает, в чем может быть проблема?

#40049053

teCa

Участник

Сообщения: 1 075

Рейтинг: 0 / 0

msLex

teCa,

Код: sql

execute as login = ...

Всё тоже самое.

...

Рейтинг:

0 / 0

26.02.2021, 16:54

| Ответить | Цитировать | Написать

Странности с правами доступа, магии не бывает, в чем может быть проблема?

#40049064

felix_ff

Участник

Откуда: Moscow

Сообщения: 1 982

Рейтинг: 0 / 0

teCa,

у вас "дверка" прикрыта для выхода вне пределы своей бд.

сравните

Код: sql

select is_trustworthy_on, name, suser_sname(owner_sid) from sys.databases

...

Рейтинг:

0 / 0

26.02.2021, 17:26

| Ответить | Цитировать | Написать

Странности с правами доступа, магии не бывает, в чем может быть проблема?

#40049068

teCa

Участник

Сообщения: 1 075

Рейтинг: 0 / 0

felix_ff

teCa,

у вас "дверка" прикрыта для выхода вне пределы своей бд.

сравните

Код: sql

select is_trustworthy_on, name, suser_sname(owner_sid) from sys.databases

Не совсем понял, первый столбец для всех БД кроме msdb 0

...

Рейтинг:

0 / 0

26.02.2021, 17:35

| Ответить | Цитировать | Написать

Странности с правами доступа, магии не бывает, в чем может быть проблема?

#40049071

felix_ff

Участник

Откуда: Moscow

Сообщения: 1 982

Рейтинг: 0 / 0

teCa,

ну так вот и учтите следующий момент.

для выхода из базы при имперсонации контекста должно выполняться два условия:
"дверь наружу" : база из которой пытаются выйти должна быть помечена trustworthy
"дверь внутрь" : владелец базы из которой выходят должен обладать правом AUTHENTICATE (или AUTHENTICATE SERVER в случае базы master) в базе куда пытаются ломиться.

...

Рейтинг:

0 / 0

26.02.2021, 17:44

| Ответить | Цитировать | Написать

Странности с правами доступа, магии не бывает, в чем может быть проблема?

#40049073

felix_ff

Участник

Откуда: Moscow

Сообщения: 1 982

Рейтинг: 0 / 0

для общего понимания концепции рекомендую прочесть вот это:

http://www.sommarskog.se/grantperm.html

Особенно блок cross-database access в Вашем случае

...

Рейтинг:

0 / 0

26.02.2021, 17:50

| Ответить | Цитировать | Написать

Странности с правами доступа, магии не бывает, в чем может быть проблема?

#40049081

Владислав Колосов

Участник

Сообщения: 9 447

Рейтинг: 0 / 0

teCa,

в целях безопасности пользователям запрещено запрашивать данные из других баз без специальных разрешений.

Выполнять cross-database запросы не лучшая практика. Например, в случае отказа вспомогательной базы вы получите неисправность системы в целом. Нужен взвешенный подход и понимание рисков.

...

Рейтинг:

0 / 0

26.02.2021, 18:03

| Ответить | Цитировать | Написать

Странности с правами доступа, магии не бывает, в чем может быть проблема?

#40049083

komrad

Участник

Сообщения: 5 299

Рейтинг: 0 / 0

felix_ff

"дверь наружу" : база из которой пытаются выйти должна быть помечена trustworthy

это потенциальная дыра в секьюрити
в такой базе член группы db_owner может самостоятельно получить sysadmin, если dbo = sa

http://andreas-wolter.com/en/1810_privilege-escalation-to-sysadmin-via-trustworthy-database/

...

Рейтинг:

0 / 0

26.02.2021, 18:19

| Ответить | Цитировать | Написать

Странности с правами доступа, магии не бывает, в чем может быть проблема?

#40049087

felix_ff

Участник

Откуда: Moscow

Сообщения: 1 982

Рейтинг: 0 / 0

komrad

felix_ff

"дверь наружу" : база из которой пытаются выйти должна быть помечена trustworthy

да я то в курсе :)

я ответил ТСу на вопрос касательно почему у него олицетворение не работает. а уж открывать ли сундучек это решать ему и его руководству :)

dbo кстати не обязательно должен быть именно sa, подойдет любой член sysadmin или securityadmin

...

Рейтинг:

0 / 0

26.02.2021, 18:26

| Ответить | Цитировать | Написать

10 сообщений из 10, страница 1 из 1

Читали тему (0):

Читали форум (0):

Пользователи онлайн (0):

start [/forum/topic.php?fid=46&msg=40049068&tid=1685026]:	0ms
get settings:	6ms
get forum list:	16ms
check forum access:	3ms
check topic access:	3ms
track hit:	32ms
get topic data:	11ms
get forum data:	2ms
get page messages:	45ms
get tp. blocked users:	1ms
others:	261ms

total:	380ms