Период между сообщениями больше года.
|
|
|
ограничение доступа
|
|||
|---|---|---|---|
|
#18+
Можно ли ограничить пользователя таким образом, что бы он работал только с одним конкретным приложением, запретить попытки обращения к базе с других приложений ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 20.11.2003, 16:25 |
|
||
|
ограничение доступа
|
|||
|---|---|---|---|
|
#18+
Полноценно - нет, а все выдрючивания можно обойти. Кстати, запретить попытки уж никак нельзя ;-) ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 20.11.2003, 17:20 |
|
||
|
ограничение доступа
|
|||
|---|---|---|---|
|
#18+
Создать роли, дающие возможность пользователю работать с базой. Дать эти роли пользователю, но не по умолчанию. Включать эти роли(alter session set role) только в приложении. Лишить доступа к sqlplus и т.п. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 21.11.2003, 06:05 |
|
||
|
ограничение доступа
|
|||
|---|---|---|---|
|
#18+
Повесить на событие On Login в Oracle проверку приложения, и дальше либо пускать либо нет. (не проверял, но по моему это возможно). ---- Oracle 9.2.0.1.0 вероятно что я и не прав. но backup я уже сделал... ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 21.11.2003, 10:13 |
|
||
|
ограничение доступа
|
|||
|---|---|---|---|
|
#18+
Любые команды SQL (да и весь трафик к Oracle), можно посмотреть и выполнить все те же команды, которые делает "секретное приложение" из любой другой программы (хоть самому можно написать) - и все, пшик ваша защита. Полноценно не защитить, а от бабушки 50-летней, конечно, еще как-то можно. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 21.11.2003, 14:27 |
|
||
|
ограничение доступа
|
|||
|---|---|---|---|
|
#18+
2 Markelenkov не уверен.. похоже, что команды "повышенонной секретности" не попадают в v$sql. или вы имеете в виду разбор именно сетевого трафика? Код: plaintext 1. 2. 3. 4. 5. 6. 7. 8. 9. 10. 11. 12. 13. 14. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 21.11.2003, 14:40 |
|
||
|
ограничение доступа
|
|||
|---|---|---|---|
|
#18+
2 Markelenkov Можно сварганить собственный протокол логона аля Керберос и зашить его в своё приложение. Другим приложением это не повторить будет. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 21.11.2003, 14:48 |
|
||
|
ограничение доступа
|
|||
|---|---|---|---|
|
#18+
под sys создаешь следующий триггер CREATE OR REPLACE TRIGGER trg$logon AFTER LOGON ON DATABASE when (user not in ('SYS','SYSTEM')) DECLARE ln_sid NUMBER; user_name VARCHAR2(30); os_user VARCHAR2(30); program_z VARCHAR2(30); BEGIN SELECT sid INTO ln_sid FROM v$mystat WHERE ROWNUM < 2 ; SELECT v$session.username , v$session.osuser , v$session.program into user_name, os_user, program_z FROM v$session WHERE v$session.sid = ln_sid AND v$session.username = USER; IF LTRIM(USER_name)=' SCOTT ' and program_z<> 'TOAD.exe' then RAISE_APPLICATION_ERROR ( -20905, 'Вас возможность работать только в TOAD'); end if ; end; можешь навернуть на него что угодно например вход только с опреденнного терминала и т.д. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 21.11.2003, 15:25 |
|
||
|
ограничение доступа
|
|||
|---|---|---|---|
|
#18+
2 alexa_s берем файл hack_oracle.exe и переименовываем его в Toad.exe как будем держать оборону, товарищ полковник? ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 21.11.2003, 15:31 |
|
||
|
ограничение доступа
|
|||
|---|---|---|---|
|
#18+
to alexa\r \r Триггер будет работать только если у SCOTT нет роли DBA\r \r grant/revoke dba в триггере\r \r PS\r Кроме того это можно обойти переименованием sqlplus.exe в toad.exe.\r \r Код: plaintext 1. 2. 3. 4. 5. 6. 7. 8. 9. 10. 11. 12. 13. 14. 15. 16. 17. 18. 19. 20. 21. 22. 23. 24. 25. 26. 27. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 21.11.2003, 15:37 |
|
||
|
ограничение доступа
|
|||
|---|---|---|---|
|
#18+
Этож только пример незачем пользователю показавать все насвете что он имеет права или неимеет права ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 21.11.2003, 15:50 |
|
||
|
ограничение доступа
|
|||
|---|---|---|---|
|
#18+
эх.. вы не знаете этих пользователей. такие проныры.. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 21.11.2003, 15:54 |
|
||
|
ограничение доступа
|
|||
|---|---|---|---|
|
#18+
И спросит тогда пользователь тварь я дрожащая или право имею ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 21.11.2003, 15:56 |
|
||
|
ограничение доступа
|
|||
|---|---|---|---|
|
#18+
и спустится с небес DBA и исполнит молитвы страждущего. и наступит тогда во всей информационной системе рай, благоухание и компот. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 21.11.2003, 16:00 |
|
||
|
ограничение доступа
|
|||
|---|---|---|---|
|
#18+
To Barkovsky В v$sql и в подобные места не попадает только пароль пользователя (если я не забыл что-нибудь). To alexa_s Да, можно еще свой сетевой протокол написать, свою криптографию навесить, запретить юзерам пользоваться отладчиками. Так можно дойти и до того, что легче что-то вместо Oracle самому написать. Вся проблема в том, что программа работает на клиенте , и имя программы идет от клиента. А он на своем компе может сделать все, что его душеньке угодно. Вот если вы на его машине уберете FDD, CD-ROM, уберете всякие C++, Delphi и прочая и прочая... Чтобы он, зараза, не мог ничего сам написать и принести откуда-нибудь - опечатать все нафиг. И охранника к каждому юзеру надо приставить, ведь найдется гад, который в простом редакторе наберет exe-файл (сляпаный, к примеру, дома) и запустит его. В общем, или работа, или такая защита. А ради чего? ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 21.11.2003, 19:00 |
|
||
|
ограничение доступа
|
|||
|---|---|---|---|
|
#18+
тогда логично предположить, что если роль защищенна паролем, то при Код: plaintext следовательно, если зашить alter session set role в исполняемом коде, то доступ пользователям (не DBA) будет только из этого приложения. не вижу граблей на этом пути:) ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 21.11.2003, 19:15 |
|
||
|
ограничение доступа
|
|||
|---|---|---|---|
|
#18+
Да v$sql здесь совсем ни причем. Он простым юзерам не должен быть виден. Да я же привел пример - перехватываем, сидя на своей машине сетевой трафик, все команды SQL можно записать в trace-файл. И Оракловая криптография не поможет, т.к. можно, конечно, не дать прав юзеру на изменение sqlnet.ora, но право установить нужную ему переменную окружения tns_admin у него не отобрать. После чего криптография отключается. Поэтому здесь катит только предложение от KonstN с маленьким уточнением - писать свою криптографию и на сервере и на клиенте. Но и против этого существует отладчик, при помощи которого все отсылаемые на сервер команды и алгоритм шифрования вскрываются. А так как вся защита будет основана на незнании юзером выдаваемых приложением команд и на алгоритме шифрования, а не на ключе - пишу свою программу и пшик всей затее. Ну никак Oracle не узнает ничего о свойствах (в том числе и об имени exe-файла и пр.) программы клиента, если она ему сама об этом не расскажет! Затраченные усилия на надежную реализацию требований, требуемых автором вопроса, наверняка не стоят этого. А от дурака можно придумать и 100 вариантов - описанные выше, вставка в "секретную" таблицу "секретной" строчки... ... :-)) ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 21.11.2003, 19:51 |
|
||
|
ограничение доступа
|
|||
|---|---|---|---|
|
#18+
Да у вас не юзера - хакеры какие-то Для обычных юзеров достаточно триггер на logon и проверка DBMS_APPLICATION.SET_MODULE (по-моему так). А хакер - он и в африке хакер. Захочет - зайдет. Другое дело, что этих хакеров надо производить в должность системных программистов, не давать никаких задач (или дать откровенно тупую) и сделать вид, что очень ждем результатов. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 22.11.2003, 06:01 |
|
||
|
ограничение доступа
|
|||
|---|---|---|---|
|
#18+
Да у меня-то юзеры обычные, бог миловал ;-) Просто я по себе сужу - что бы я делал, если б мне сказали: "Дружок, вот тебе TOAD, и да наступит тебе феличита, а все другое - от Лукавого". Я же сразу сказал - полноценнно (т.е. на 99% хотя бы) я не знаю, как сделать. А от дурака - 100 способов можно придумать. Пока что хорошего и простого способа никто не предложил. Думаю, и не предложат. Ждем-с... ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 22.11.2003, 14:18 |
|
||
|
ограничение доступа
|
|||
|---|---|---|---|
|
#18+
подскажите плз, можно ли запретить юзеру с ролью DBA доступ к em? иначе говоря, доступ к em должен быть только у SYS-а (as sysdba) можно ли так сделать? ps. oracle 11g ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 11.05.2017, 01:38 |
|
||
|
ограничение доступа
|
|||
|---|---|---|---|
|
#18+
dekloper, Возникает резонный вопрос - зачем пользователю роль, к инструменту выполнения которой он не должен иметь доступ? Может разумнее забрать у этого пользователя роль DBA, выданную ему скорее всего из-за отсутствия понимания необходимых для его задач привилегий? ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 11.05.2017, 09:50 |
|
||
|
ограничение доступа
|
|||
|---|---|---|---|
|
#18+
Для сведения: все, что можно сделать через EM, можно сделать без EM. Разумеется, при определенной квалификации юзера. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 11.05.2017, 09:57 |
|
||
|
ограничение доступа
|
|||
|---|---|---|---|
|
#18+
envdekloper, скорее всего из-за отсутствия понимания необходимых для его задач привилегий? 100% так и есть.. если б кто точно знал что надо для работы нашего кривософта, вопросов бы не было... tru55Для сведения: все, что можно сделать через EM, можно сделать без EM. Разумеется, при определенной квалификации юзера. сведения известные: мне скл+ за глаза хватает.. нужна именно защита от.. обезъяны с гранатой.. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 11.05.2017, 11:25 |
|
||
|
ограничение доступа
|
|||
|---|---|---|---|
|
#18+
dekloper, Триггер на логон с проверкой приложения и хоста. Будет мина замедленного действия, но зато в том же духе говнокода, что уже есть. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 11.05.2017, 11:36 |
|
||
|
|
start [/forum/topic.php?fid=52&msg=32331047&tid=1885934]: |
0ms |
get settings: |
9ms |
get forum list: |
19ms |
check forum access: |
4ms |
check topic access: |
4ms |
track hit: |
207ms |
get topic data: |
10ms |
get forum data: |
2ms |
get page messages: |
78ms |
get tp. blocked users: |
1ms |
| others: | 252ms |
| total: | 586ms |
| 0 / 0 |
