|
|
|
Идиотская ситуация с правами
|
|||
|---|---|---|---|
|
#18+
Добрый день. Столкнулся с ситуацией когда в отлаженной системе на кучу таблиц рабочего пользователя (разработчикам руки бы оторвал) даны гранты select на public, и тут потребовалось завести еще одного пользователя для которого нужен доступ только к паре таблиц, но сами понимаете, что он может увидеть данные всех тех которые отданы паблику по селекту :( Таблиц тысячи и быстро разобраться с правами тяжело, не подскажете как можно ограничить доступ? На ум пока кроме dbms_rls policy ничего не приходит, может кто предложит еще какой вариант? Спасибо. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 21.07.2017, 09:25 |
|
||
|
Идиотская ситуация с правами
|
|||
|---|---|---|---|
|
#18+
Stinger55Добрый день. Столкнулся с ситуацией когда в отлаженной системе на кучу таблиц рабочего пользователя (разработчикам руки бы оторвал) даны гранты select на public, и тут потребовалось завести еще одного пользователя для которого нужен доступ только к паре таблиц, но сами понимаете, что он может увидеть данные всех тех которые отданы паблику по селекту :( Таблиц тысячи и быстро разобраться с правами тяжело, не подскажете как можно ограничить доступ? На ум пока кроме dbms_rls policy ничего не приходит, может кто предложит еще какой вариант? Спасибо. в схеме пользователя создать 990 "пустых" таблиц ..... stax ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 21.07.2017, 09:31 |
|
||
|
Идиотская ситуация с правами
|
|||
|---|---|---|---|
|
#18+
stax..в схеме пользователя создать 990 "пустых" таблиц На дельный совет не похоже. К решаемой задаче - перпендикулярно. Поставил смайл - значит шутишь. А юмор-то в чем? ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 21.07.2017, 09:37 |
|
||
|
Идиотская ситуация с правами
|
|||
|---|---|---|---|
|
#18+
stax.., Извините, но это анонизм ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 21.07.2017, 09:44 |
|
||
|
Идиотская ситуация с правами
|
|||
|---|---|---|---|
|
#18+
Если есть любая другая база, создать пользователя там, и пусть он смотрит на разрешённые ему таблицы по дб линку через частные синонимы.. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 21.07.2017, 09:52 |
|
||
|
Идиотская ситуация с правами
|
|||
|---|---|---|---|
|
#18+
Stinger55, Вам 15 минут хватит, чтобы скопировать права(на рабочие схемы) данные паблику новой роли и раздать последнюю всем пользователям (кроме одного) по умолчанию, а потом хоть целый день откусывайте от паблика тысячи привилегий. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 21.07.2017, 09:58 |
|
||
|
Идиотская ситуация с правами
|
|||
|---|---|---|---|
|
#18+
dba123Вам 15 минут хватит, чтобы скопировать права(на рабочие схемы) данные паблику новой роли и раздать последнюю всем пользователям (кроме одного) по умолчанию, а потом хоть целый день откусывайте от паблика тысячи привилегий. А вот это, похоже, дельный совет. Тоже думал, как решить проблему топикстартера, но не придумал. Спасибо. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 21.07.2017, 10:03 |
|
||
|
Идиотская ситуация с правами
|
|||
|---|---|---|---|
|
#18+
dba123, Да, как вариант, надо попробовать. Спасибо ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 21.07.2017, 10:04 |
|
||
|
Идиотская ситуация с правами
|
|||
|---|---|---|---|
|
#18+
dba123Stinger55, Вам 15 минут хватит, чтобы скопировать права(на рабочие схемы) данные паблику новой роли и раздать последнюю всем пользователям (кроме одного) по умолчанию, а потом хоть целый день откусывайте от паблика тысячи привилегий. паблик - имя в код не вбивали, куррент схема не пользовали ... печалька ..... stax ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 21.07.2017, 10:05 |
|
||
|
Идиотская ситуация с правами
|
|||
|---|---|---|---|
|
#18+
Stinger55, Проблемы все равно будут, но это рано или поздно надо сделать. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 21.07.2017, 10:06 |
|
||
|
Идиотская ситуация с правами
|
|||
|---|---|---|---|
|
#18+
stax..dba123Stinger55, Вам 15 минут хватит, чтобы скопировать права(на рабочие схемы) данные паблику новой роли и раздать последнюю всем пользователям (кроме одного) по умолчанию, а потом хоть целый день откусывайте от паблика тысячи привилегий. паблик - имя в код не вбивали, куррент схема не пользовали ... печалька ..... stax В чём печалька? public synonyms и гранты на public никак не пересекаются.. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 21.07.2017, 10:14 |
|
||
|
Идиотская ситуация с правами
|
|||
|---|---|---|---|
|
#18+
dba123, Да проблему надо решать иначе как снежный ком нарастать будет. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 21.07.2017, 10:16 |
|
||
|
Идиотская ситуация с правами
|
|||
|---|---|---|---|
|
#18+
dba123Stinger55, Вам 15 минут хватит, чтобы скопировать права(на рабочие схемы) данные паблику новой роли и раздать последнюю всем пользователям (кроме одного) по умолчанию, а потом хоть целый день откусывайте от паблика тысячи привилегий. Зависит, разумеется, от дизайна системы, но возможно откусывать придётся очень осторожно, учитывая известные ограничения прав, выданных через роль. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 21.07.2017, 10:29 |
|
||
|
Идиотская ситуация с правами
|
|||
|---|---|---|---|
|
#18+
Viewerstax..пропущено... паблик - имя в код не вбивали, куррент схема не пользовали ... печалька ..... stax В чём печалька? public synonyms и гранты на public никак не пересекаются.. как убрать с public право селект? я так понимаю с етим проблема у Stinger55 ..... stax ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 21.07.2017, 10:58 |
|
||
|
Идиотская ситуация с правами
|
|||
|---|---|---|---|
|
#18+
stax..как убрать с public право селект? Остановись. Перестань писать в этой теме. Прочти еще раз ветку от начала и до конца. Если не понятно, что просит автор, посмотри, какие советы даются. Не твои, разумеется, а совет от dba123 и комментарий от Viewer к нему. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 21.07.2017, 11:02 |
|
||
|
Идиотская ситуация с правами
|
|||
|---|---|---|---|
|
#18+
Ерунда все это, почему нельзя, можно новую тему открыть. Стас, давай свой тест-кейс, попробуем разобраться. Или я после обеда, напишу, как я понимаю. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 21.07.2017, 12:00 |
|
||
|
Идиотская ситуация с правами
|
|||
|---|---|---|---|
|
#18+
Viewerdba123Stinger55, Вам 15 минут хватит, чтобы скопировать права(на рабочие схемы) данные паблику новой роли и раздать последнюю всем пользователям (кроме одного) по умолчанию, а потом хоть целый день откусывайте от паблика тысячи привилегий. Зависит, разумеется, от дизайна системы, но возможно откусывать придётся очень осторожно, учитывая известные ограничения прав, выданных через роль. Если ограничения через роль станут существенной проблемой, можно выдать привилегии на прикладные таблицы, которые сейчас у паблика, не через роль, а тупо и злобно каждому пользователю, которому надо, напрямую. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 21.07.2017, 13:24 |
|
||
|
Идиотская ситуация с правами
|
|||
|---|---|---|---|
|
#18+
Для рабочих схем с кодом это обязательно и в первую очередь до revoke ...from public. Можно на тесте, например, как забирали права на utl_file от public-а: - посмотреть стандартные и наши схемы приложений у кого что нового инвалидировалось - составить список - дать им отобранную привилегию - utlrp ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 21.07.2017, 14:27 |
|
||
|
Идиотская ситуация с правами
|
|||
|---|---|---|---|
|
#18+
dba123как забирали права на utl_file от public-а: - посмотреть стандартные и наши схемы приложений у кого что нового инвалидировалось по поводу отбора (дефолных) прав у public, если не ошибаюсь есть нота, согласно которой, в качестве превентивной меры, опрашивается dba_source на наличие вовлечённых имён объектов, и соответствующая прямая раздача прав на объекты владельцам кода... ну а потом, после utlrp, допиливать то, что инвалидировалось. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 21.07.2017, 18:45 |
|
||
|
Идиотская ситуация с правами
|
|||
|---|---|---|---|
|
#18+
Без внесения изменений в политике выдачи прав разработчиками системы, получите дополнительный объем работ при обновлениях системы. Как временное решение без вмешательства, по вашим же словам, в отлаженную систему предложу создать вьюшки в сторонней БД и заполнять их по дб-линку. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 21.07.2017, 20:23 |
|
||
|
Идиотская ситуация с правами
|
|||
|---|---|---|---|
|
#18+
ViewerЕсли есть любая другая база, создать пользователя там, и пусть он смотрит на разрешённые ему таблицы по дб линку через частные синонимы.. Упс, проглядел) ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 21.07.2017, 20:29 |
|
||
|
|
start [/forum/topic.php?fid=52&msg=39492833&tid=1885550]: |
0ms |
get settings: |
6ms |
get forum list: |
21ms |
check forum access: |
4ms |
check topic access: |
4ms |
track hit: |
170ms |
get topic data: |
12ms |
get forum data: |
3ms |
get page messages: |
63ms |
get tp. blocked users: |
1ms |
| others: | 239ms |
| total: | 523ms |
| 0 / 0 |
