Как защититься от администратора? на ASE 12.5.1 / Sybase ASA, ASE, IQ

ReSQL.ru

Мобильная версия Контакт Правила FAQ Помощь

Гость

Войти | Регистрация | Профиль | Очистить

Новые сообщения | Избранное

Форумы | Пользователи | Статистика | Мод. лог | Поиск

Цитировать

Написать

Автор*:

Ввести пароль для входа

Тема*:

Сообщение

Данное сообщение тематическое

Сообщение содержит картинки или видео 18+

Автор:

ВНИМАНИЕ! На данном подфоруме действуют строгие правила. Удостоверьтесь, что ваше сообщение соответствует им!

Форум или тема закрыты для гостей. Необходима авторизация!

Загрузить последнюю сохраненную версию

Вложение:

Вставить как галерею

Максимальный размер вложений: 4,0 МБ, аудио/видео: 8,0 МБ. Картинки большего размера ужимаются, если возможно.

Введите код, изображенный на картинке. Если код нечитаемый, кликните картинку, чтобы загрузить другой вариант.

Отправляя сообщение, я выражаю свое согласие с правилами форума и принимаю пользовательское соглашение.

Доб. в избранное | Игнор. тему | Прикреп. тему | Пометить прочит. / непрочит. | Фильтр

Форумы / Sybase ASA, ASE, IQ [игнор отключен] [закрыт для гостей] / Как защититься от администратора? на ASE 12.5.1

18 сообщений из 18, страница 1 из 1

Как защититься от администратора? на ASE 12.5.1

#35794554

Badger

Участник

Откуда: Москва

Сообщения: 253

Рейтинг: 0 / 0

Тема взята из MSSQL форума источник статьи здесь
Вопрос аналогичный, что можно и сделать для SYBASE 12.5.1 если проблема идентична?

Если ссылка перестанет работать то повторю что там написано:

Популярный на форумах вопрос - "Как защититься от администратора?".
Самый популярный ответ "А не надо пущать!" Это не обсужается
Но что делать, когда кто-то должен все-таки управлять сервером?
Например, создавать логины новых пользователей...

Рассмотрим сценарий :) ):

Вы создали базу данных и установили заказчику.

Вы не хотите, чтобы он "ковырялся" в ней и для этого (например)

•Доступа к таблицам нет, вся работа - только через процедуры
•Настроили кучу джобов, которые обслуживают базу
•Обеспечили возможность безопасного соединения по VPN на случай "если что-то слетит".
•Дали "самый главный пароль" в запечатанном конверте директору под расписку.
•Местному админу дали права администратора своей базы (не на master), все возможности которого сводятся только к настройке бизнес-процессов в программе
Но через 2 месяца Вы поняли, что каждый раз заводить логин самому уже надоело, поскольку максимум, что может сделать любой другой пользователь - это поработать в программе.

Итак, наша задача дать простому пользователю (ну или не очень простому) не давая прав администратора, возможность создавать логины.

Есть какие-нибудь предложения?

...

Рейтинг:

0 / 0

03.02.2009, 17:20

| Ответить | Цитировать | Написать

Как защититься от администратора? на ASE 12.5.1

#35794578

Dim2000

Участник

Откуда: Москва

Сообщения: 5 439

Рейтинг: 0 / 0

Badger пишет:

> Вопрос аналогичный, что можно и сделать для SYBASE 12.5.1 если проблема
> идентична?

В ASA процедура выполняется с правами её владельца. В ASE это не так?
Posted via ActualForum NNTP Server 1.4

...

Рейтинг:

0 / 0

03.02.2009, 17:28

| Ответить | Цитировать | Написать

Как защититься от администратора? на ASE 12.5.1

#35794727

White Owl

Участник

Сообщения: 12 726

Рейтинг: 0 / 0

Badger•Местному админу дали права администратора своей базы (не на master),
Уточни пожалуйста, что ты понимаешь под "права администратора своей базы"? dbo ?
Database Owner это почти такой же юзер как и обычный. Если создатель таблиц и хранимых процедур не дал dbo прав на работу с этими объектами - dbo не сможет с ними работать.

BadgerИтак, наша задача дать простому пользователю (ну или не очень простому) не давая прав администратора, возможность создавать логины.

Есть какие-нибудь предложения?Почитать документацию? :)

sp_addlogin Permissions
Only a System Administrator or a System Security Officer can execute sp_addlogin.
sp_adduser Permissions
Only the Database Owner, a System Administrator, or a System Security Officer can execute sp_adduser.
То есть, чтобы простой юзер смог добавлять логины и разрешать этим логинам ходить к определенной базе, этот простой юзер должен стать System Security Officer.

Код: plaintext

grant role sso_role to userA
go

Тогда userA сможет издеваться над юзерами меняя их пароли, но не сможет самовольно менять структуру базы.

...

Рейтинг:

0 / 0

03.02.2009, 18:08

| Ответить | Цитировать | Написать

Как защититься от администратора? на ASE 12.5.1

#35794750

MasterZiv

Участник

Откуда: Питер

Сообщения: 32 427

Рейтинг: 0 / 0

Badger пишет:
> Вопрос аналогичный, что можно и сделать для SYBASE 12.5.1 если проблема
> идентична?

От администратора не надо защищаться. С администратором надо
дружить. Администратор ПО ОПРЕДЕЛЕНИЮ обязан иметь полный
доступ ко всем данным и функциям сервера, это - его работа.
Делать что-то для ограничения его прав - идиотизм.
Posted via ActualForum NNTP Server 1.4

...

Рейтинг:

0 / 0

03.02.2009, 18:16

| Ответить | Цитировать | Написать

Как защититься от администратора? на ASE 12.5.1

#35794754

MasterZiv

Участник

Откуда: Питер

Сообщения: 32 427

Рейтинг: 0 / 0

Dim2000 пишет:

> > Вопрос аналогичный, что можно и сделать для SYBASE 12.5.1 если проблема
> > идентична?
>

Есть sso_role, есть системные процедуры, на которые можно выдать права.
Но это все - не для главного администратора, а для вспомогательных может
быть.

> В ASA процедура выполняется с правами её владельца. В ASE это не так?

Так, но есть нюансы. Некоторые процедуры чтобы что-то сделать
привеллигированное должны ещё создаваться под sso_role, или даже
только под sa.
Posted via ActualForum NNTP Server 1.4

...

Рейтинг:

0 / 0

03.02.2009, 18:18

| Ответить | Цитировать | Написать

Как защититься от администратора? на ASE 12.5.1

#35795188

herr

Участник

Сообщения: 174

Рейтинг: 0 / 0

MasterZiv
Администратор ПО ОПРЕДЕЛЕНИЮ обязан иметь полный
доступ ко всем данным и функциям сервера, это - его работа.
Делать что-то для ограничения его прав - идиотизм.

вопрос скорее риторический... и очень спорный
но правило первое, гласит: "администратор не иметь право читать почту CEO" :))

...

Рейтинг:

0 / 0

03.02.2009, 23:46

| Ответить | Цитировать | Написать

Как защититься от администратора? на ASE 12.5.1

#35795535

0rc

Участник

Откуда: Днепропетровск

Сообщения: 380

Рейтинг: 0 / 0

herr,

если уж администратор имеет доступ к консоли сервера где работает ASE и сможет его перестартовать - то он любой логин разлочит и пароль сменит, а значит и залогинится...

...

Рейтинг:

0 / 0

04.02.2009, 10:14

| Ответить | Цитировать | Написать

Как защититься от администратора? на ASE 12.5.1

#35796413

Badger

Участник

Откуда: Москва

Сообщения: 253

Рейтинг: 0 / 0

White OwlТо есть, чтобы простой юзер смог добавлять логины и разрешать этим логинам ходить к определенной базе, этот простой юзер должен стать System Security Officer.

Код: plaintext

grant role sso_role to userA
go

Тогда userA сможет издеваться над юзерами меняя их пароли, но не сможет самовольно менять структуру базы.Все хорошо, но вот маленькая дырочка, sso_role же может поменять пароль и для 'sa' и какой тогда смысл в этой роле?

...

Рейтинг:

0 / 0

04.02.2009, 14:07

| Ответить | Цитировать | Написать

Как защититься от администратора? на ASE 12.5.1

#35796485

Badger

Участник

Откуда: Москва

Сообщения: 253

Рейтинг: 0 / 0

MasterZiv
Badger пишет:
> Вопрос аналогичный, что можно и сделать для SYBASE 12.5.1 если проблема
> идентична?

От администратора не надо защищаться. С администратором надо
дружить. Администратор ПО ОПРЕДЕЛЕНИЮ обязан иметь полный
доступ ко всем данным и функциям сервера, это - его работа.
Делать что-то для ограничения его прав - идиотизм.
Бывает так, что база продается с ограничениями по количеству коннектов с вашей программой, ограничение это устанавливается
EXEC sp_configure 'number of user connections', 5 -- число одновременных пользователей
'sa' может сменить этот параметр, а мне бы это не хотелось.

...

Рейтинг:

0 / 0

04.02.2009, 14:23

| Ответить | Цитировать | Написать

Как защититься от администратора? на ASE 12.5.1

#35796515

Badger

Участник

Откуда: Москва

Сообщения: 253

Рейтинг: 0 / 0

...

Рейтинг:

0 / 0

04.02.2009, 14:28

| Ответить | Цитировать | Написать

Как защититься от администратора? на ASE 12.5.1

#35796797

0rc

Участник

Откуда: Днепропетровск

Сообщения: 380

Рейтинг: 0 / 0

Badger,
то есть - отобрать права рута ? взять сетевое оборудование под свое управление ? не допускать персонал покупателя в серверную ? я правильно ваши планы понимаю ?

...

Рейтинг:

0 / 0

04.02.2009, 15:39

| Ответить | Цитировать | Написать

Как защититься от администратора? на ASE 12.5.1

#35796836

0rc

Участник

Откуда: Днепропетровск

Сообщения: 380

Рейтинг: 0 / 0

Badger'sa' может сменить этот параметр, а мне бы это не хотелось.
а рут, вражина, в конфиг-файле поправит и без "sa" :)

...

Рейтинг:

0 / 0

04.02.2009, 15:46

| Ответить | Цитировать | Написать

Как защититься от администратора? на ASE 12.5.1

#35797553

MasterZiv

Участник

Откуда: Питер

Сообщения: 32 427

Рейтинг: 0 / 0

Badger пишет:

> Бывает так, что база продается с ограничениями по количеству коннектов с
> вашей программой, ограничение это устанавливается
> EXEC sp_configure 'number of user connections', 5 -- число одновременных
> пользователей

Смешно.
Posted via ActualForum NNTP Server 1.4

...

Рейтинг:

0 / 0

04.02.2009, 18:49

| Ответить | Цитировать | Написать

Как защититься от администратора? на ASE 12.5.1

#35797557

MasterZiv

Участник

Откуда: Питер

Сообщения: 32 427

Рейтинг: 0 / 0

Badger пишет:

> вот в этом то и проблема! Как ее решить я пока не знаю, как сделать так
> чтобы пользователей заводить было можно, а рулить сервером нельзя?
Никак.
Posted via ActualForum NNTP Server 1.4

...

Рейтинг:

0 / 0

04.02.2009, 18:50

| Ответить | Цитировать | Написать

Как защититься от администратора? на ASE 12.5.1

#35797962

rcryo

Участник

Откуда: Москва

Сообщения: 323

Рейтинг: 0 / 0

авторИтак, наша задача дать простому пользователю (ну или не очень простому) не давая прав администратора, возможность создавать логины.Наверное это поможет
Granting SA rights to non-SA users

...

Рейтинг:

0 / 0

05.02.2009, 00:25

| Ответить | Цитировать | Написать

Как защититься от администратора? на ASE 12.5.1

#35799887

Badger

Участник

Откуда: Москва

Сообщения: 253

Рейтинг: 0 / 0

0rcBadger,
то есть - отобрать права рута ? взять сетевое оборудование под свое управление ? не допускать персонал покупателя в серверную ? я правильно ваши планы понимаю ?Ну не так радикально, но мысль правильная.
Если вы не хотите платить, но хотите иметь полноценную программу, то давайте оговорим права доступа к серверу:
Он не в домене,

и у вас нет прав прав администратора,

нет прав доступа к дискам...

дальше защищаться не стоит, хотя пути есть... вы просто лишаетесь поддержки.
(Личное дело каждого, - покупать Висту или работать на крякнутой версии, живите как хотите....)
rcryoавторИтак, наша задача дать простому пользователю (ну или не очень простому) не давая прав администратора, возможность создавать логины.Наверное это поможет
Granting SA rights to non-SA users ну вот УРА! простое решение. Большое спасибо rcryo за идею, и вот получилась процедурка:

Код: plaintext

1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.
12.
13.
14.
15.
16.
17.
18.
19.
20.
21.
22.
23.
24.
25.
26.
27.
28.
29.
30.
31.
32.
33.
34.
35.
36.
37.
38.
39.
40.
41.
42.
43.
44.
45.
46.
47.
48.
49.
50.
51.
52.
53.
54.
55.
56.
57.
58.
59.
60.
61.
62.
63.
64.
65.
66.

/* Сначала создаем новую роль, гениально */
create role indirect_sa_role 
with passwd [PASSWORD]
go

/* добавляем ее к sa_role  идея White Owl, но она была не завершенной */
grant role sa_role to indirect_sa_role
go

/* Устанавливаем для admin_user возможность пользоатоваться этой ролью, можно хоть всем пользователям такой грант сделать, пользоваться им все равно без пароля нельзя :) */
grant role indirect_sa_role to admin_user
go

/* Создаем процедурку для заведения  нового пользоватлея */
CREATE PROCEDURE dbo.of_sp_addlogin; 1 
(
   @loginame                   varchar( 30 ) = NULL,        /* login name of the new user        */
   @passwd                     varchar( 31 ) = NULL,        /* password of the new user          */
   @defdb                      varchar( 30 ) = "master",    /* default db for the new user       */
   @deflanguage                varchar( 30 ) = "us_english",/* default language for the new user */
   @fullname                   varchar( 30 ) = NULL,        /* account owners full name         */
   @user_group                 varchar( 30 ) = "public"     /* group to put new user in          */
)
AS
BEGIN

   /* Включаем sa_role для всех пользователей кроме 'sa', а то процедура лишнюю ошибку выдает... :) */
   IF SUSER_NAME( ) <> 'sa'
   BEGIN
       /* Устанавливаем текущему пользователю sa_role */
       set role indirect_sa_role
       with passwd [PASSWORD] on
   END 
   
       /* Создаем нового пользователя */
       EXEC @ret = master..sp_addlogin @loginame,
                               @passwd,
                               @defdb,
                               @deflanguage,
                               @fullname,
                               null,
                                6 ,
                               null

       IF SUSER_ID(@loginame) >  0 
       BEGIN
           /* добавляем пользователя в грппу (по умолчанию public) */
           EXEC master..sp_adduser @loginame,
                                   @loginame,
                                   @user_group
       END

   IF SUSER_NAME( ) <> 'sa'
   BEGIN
       /* выключаем sa_role для пользователя */
       set role indirect_sa_role off
   END

END
go
GRANT EXECUTE ON dbo.of_sp_addlogin TO public
go


/* Скрываем процедуру, чтобы нельзя было узнать пароль */ 
sp_hidetext dbo.of_sp_addlogin
go

Как приятно, когда все кусаются, говорят что это нельзя, а у тебя почему-то все получилось...
Всем спасибо, особенно rcryo!

...

Рейтинг:

0 / 0

05.02.2009, 17:06

| Ответить | Цитировать | Написать

Как защититься от администратора? на ASE 12.5.1

#35800315

0rc

Участник

Откуда: Днепропетровск

Сообщения: 380

Рейтинг: 0 / 0

Badger,

а вы верите что кому-то продадите продукт, к серверу которого администратор покупателя не имеет доступа ?
то есть - в случае выхода из строя апаратуры никто кроме продавца прикладного ПО ничего не может сделать ? никто не в состоянии проставить патчи операционной системы ?

...

Рейтинг:

0 / 0

05.02.2009, 19:58

| Ответить | Цитировать | Написать

Как защититься от администратора? на ASE 12.5.1

#35800670

herr

Участник

Сообщения: 174

Рейтинг: 0 / 0

0rcherr,

если уж администратор имеет доступ к консоли сервера где работает ASE и сможет его перестартовать - то он любой логин разлочит и пароль сменит, а значит и залогинится...

Так кто же спорит :)

тут автор что-то не договаривает.

есть только два варианта:
1) автор продает свой продукт клиенту, где продукт работает на ASE и клиент не платить отдельно за лицензии Sybase'у,
т.е. клиент заплатил рубъ и получил все что надо в одном флаконе, и тогда ковыряние в продукте являтся хаком со стороны клиента
вообщем, у автора типа есть OEM соглашение с Sybase :) и тут как говориться, что автор захочет, то и делает, типа это же один продукт для конечного клиента
пусть хоть напишут свои гуи по управлению базы сервера: API и вперед - с музыкой, и sa паролько как минимум 128 символов :))

2) клиент платит за продукт и ASE
вроде все ясно, все автором [не]обосновонные "проблемы" в топку, т.к. клиент сам решает что и как править,
ввиду того что "отчитывается" за лицензии перед Sybase
единственное на что автор может ссылатья типа: "необходимые требованния к ASE для работы с продуктом Х"

...

Рейтинг:

0 / 0

06.02.2009, 01:54

| Ответить | Цитировать | Написать

18 сообщений из 18, страница 1 из 1

Форумы / Sybase ASA, ASE, IQ [игнор отключен] [закрыт для гостей] / Как защититься от администратора? на ASE 12.5.1

Читали тему (0):

Читали форум (0):

Пользователи онлайн (0):

start [/forum/topic.php?fid=55&msg=35794554&tid=2011176]:	0ms
get settings:	10ms
get forum list:	12ms
check forum access:	3ms
check topic access:	3ms
track hit:	150ms
get topic data:	11ms
get forum data:	3ms
get page messages:	54ms
get tp. blocked users:	2ms
others:	257ms

total:	505ms