Hi All,

Немного предыстории:

Есть некая контора X где эксплуатируется SA 12.0.1 (точнее говоря база под ним).
Я эту базу некоторое время сопровождал.
Административный пароль (для dba) от этой базы есть только у меня, все остальные пользователи этой базы каких либо прав на изменения метаданных не имеют.
Около полугода меня в этой конторе не было.
Когда я туда попал в очередной раз, оказалось что dba-пароль поменяли.
После расспросов выяснилось, что некоторое время назад им надо было завести нового пользователя в базу, меня они найти не смогли и обратились к каким то ребятам. Эти ребята чего то поделали с базой и в результате смогли добавить им нового пользователя.

Как я понимаю, эти ребята смогли каким то образом обнулить пароль (или его хеш) в самой базе (наверное это делалось примерно так же как делается обнуления админского пароля для XP в базе (реестре) самой винды с загрузочного диска).
Но это только мое предположение, каким образом они смогли изменить dba-пароль я не знаю.

Вопросы:

1) Есть ли все таки возможности изменения (обнуления) dba-пароля при физическом доступе к файлам БД ? Может у All есть какая то информация по этому поводу ?

2) Можно ли как то от этого защититься, кроме варианта с запретом физическом доступе к файлам БД ?

White OwlНу если в базе есть обычный юзер с полным доступом к базе на чтениеНе совсем понятно, о каких правах идет речь ?
У меня все пользователи создаются в стиле

то есть никаких дополнительных прав касательно базы.

Есть только один спец-пользователь для бэкапа, у которого есть права

но вроде бы этих прав не достаточно для unload ...

Какие есть еще варианты ?

old_joyStalker4,
Нашли директорию с бэкапами.
Оттранслировали логи, нашли лог, в котором вы меняли пароль dba.
Это вряд ли, пароль менялся очень давно и тех бекапов нет, а .log файл я периодически удаляю.

MasterZivStalker41) Есть ли все таки возможности изменения (обнуления) dba-пароля при физическом доступе к файлам БД ? Может у All есть какая то информация по этому поводу ?

Да вроде во всех СУБД есть такая возможность, если у пользователя есть административный доступ к самому хосту.

ASE -- есть
MSSQL -- есть.
MySQL -- есть
Postgres -- есть.

Я не думаю, что такой возможности нет в ASA.
А как бы это поточнее узнать ? И можно ли этому как то противодействовать ?

morisStalker4,
В ASA нет общедоступного способа сброса пароля..
В случае же необходимости сброса DBA пароля, клиент официально обращается в Sybase, вернее в SAP уже, с такой просьбой.
Я весьма сомневаюсь, что эти ребята обращались в SAP ...
Они смогли именно взломать базу SA 12.0.1 и изменить там DBA пароль, имея физический доступ к файлам БД (.db и .log).
Вот я и хочу понять как именно они это сделали ?

AlexMoorЕсли база не шифрованая и была возможность остановить базу, то никаких проблем. Сам так делал пару раз. Находишь HEX-редактором в самом файле базы запись пользователя к которому знаешь пароль и выставляешь ему DBAAUTH в Y(es) (можно предварительно найти запись DBA и посмотреть расположение этого поля). Всё.
Создал нешифрованную базу в SA 12.0.1, добавил в нее пользователя test29.
Открыл ее (файл *.db) на просмотр в hview (или в Far по F3), но найти там через обычный поиск (F7) строку test29 не получается. И уж тем более не понятно как через HEX-редактор можно выставить DBAAUTH в Y(es).
Может у Вас какой то специальный HEX-редактор ?