Добро пожаловать в форум, Guest  >>   Войти | Регистрация | Поиск | Правила | В избранное | Подписаться
Все форумы / Microsoft SQL Server Новый топик    Ответить
 Безопасно ли хранить пароль в заданиях агента?  [new]
red88888
Member

Откуда:
Сообщений: 130
Собственно, сабж. Есть задания, которые нужно выполнять от имени администратора. Насколько безопасно хранить пароль в скриптах заданий?
26 фев 15, 11:24    [17314376]     Ответить | Цитировать Сообщить модератору
 Re: Безопасно ли хранить пароль в заданиях агента?  [new]
a_voronin
Member

Откуда: Москва
Сообщений: 4846
red88888,

Ответ -- нет.
26 фев 15, 12:20    [17314754]     Ответить | Цитировать Сообщить модератору
 Re: Безопасно ли хранить пароль в заданиях агента?  [new]
Glory
Member

Откуда:
Сообщений: 104751
red88888
Насколько безопасно хранить пароль в скриптах заданий?

А где в задании агента, а тем более в его скритпе хранятся какие пароли ?
26 фев 15, 12:29    [17314809]     Ответить | Цитировать Сообщить модератору
 Re: Безопасно ли хранить пароль в заданиях агента?  [new]
red88888
Member

Откуда:
Сообщений: 130
Glory
red88888
Насколько безопасно хранить пароль в скриптах заданий?

А где в задании агента, а тем более в его скритпе хранятся какие пароли ?

Логин и пароль указываются в tsql-скрипте

А есть мысль как это обезопасить? Есть необходимость указывать в скрипте логин и пароль УЗ, из под которой работает сам sql server.
26 фев 15, 14:28    [17315677]     Ответить | Цитировать Сообщить модератору
 Re: Безопасно ли хранить пароль в заданиях агента?  [new]
Glory
Member

Откуда:
Сообщений: 104751
red88888
Логин и пароль указываются в tsql-скрипте

Это, извините, каким образом ?

red88888
А есть мысль как это обезопасить?

У шага задания можно задать прокси
26 фев 15, 14:31    [17315704]     Ответить | Цитировать Сообщить модератору
 Re: Безопасно ли хранить пароль в заданиях агента?  [new]
red88888
Member

Откуда:
Сообщений: 130
Glory
red88888
Логин и пароль указываются в tsql-скрипте

Это, извините, каким образом ?


Например, вот таким:

exec [DB_NAME].sys.sp_addlogreader_agent @job_login = N'LOGIN_NAME'
							, @job_password = N'PASS'
							, @publisher_security_mode = 1
							, @job_name = null	
26 фев 15, 14:40    [17315785]     Ответить | Цитировать Сообщить модератору
 Re: Безопасно ли хранить пароль в заданиях агента?  [new]
Glory
Member

Откуда:
Сообщений: 104751
red88888
Например, вот таким:

Это же какие то разовые действия по настройке !
Зачем их вносить в джобы ?
26 фев 15, 14:42    [17315799]     Ответить | Цитировать Сообщить модератору
 Re: Безопасно ли хранить пароль в заданиях агента?  [new]
red88888
Member

Откуда:
Сообщений: 130
Glory
red88888
Например, вот таким:

Это же какие то разовые действия по настройке !
Зачем их вносить в джобы ?


Есть необходимость автоматизировать рутинные действия. Нам это нужно делать довольно часто.
26 фев 15, 14:43    [17315812]     Ответить | Цитировать Сообщить модератору
 Re: Безопасно ли хранить пароль в заданиях агента?  [new]
Glory
Member

Откуда:
Сообщений: 104751
red88888
Есть необходимость автоматизировать рутинные действия.

А как джоб способствует автоматизации то ?
26 фев 15, 15:14    [17316059]     Ответить | Цитировать Сообщить модератору
 Re: Безопасно ли хранить пароль в заданиях агента?  [new]
a_voronin
Member

Откуда: Москва
Сообщений: 4846
red88888
Glory
пропущено...

Это же какие то разовые действия по настройке !
Зачем их вносить в джобы ?


Есть необходимость автоматизировать рутинные действия. Нам это нужно делать довольно часто.


Вы не хотите освоить SSIS? Там с настройкой строй соединений и шифрованием данных имеется возможности.

http://www.mssqltips.com/sqlservertip/2091/securing-your-ssis-packages-using-package-protection-level/
26 фев 15, 16:02    [17316511]     Ответить | Цитировать Сообщить модератору
 Re: Безопасно ли хранить пароль в заданиях агента?  [new]
red88888
Member

Откуда:
Сообщений: 130
a_voronin
red88888
пропущено...


Есть необходимость автоматизировать рутинные действия. Нам это нужно делать довольно часто.


Вы не хотите освоить SSIS? Там с настройкой строй соединений и шифрованием данных имеется возможности.

http://www.mssqltips.com/sqlservertip/2091/securing-your-ssis-packages-using-package-protection-level/

Боюсь, в моем случае это не поможет.

Поясню:
У нас в репликации транзакций участвует ограниченное количество таблиц. При очередном обновлении базы, когда репликации приходится отключать, возникает проблема их последующего поднятия. Выковыривать таблицы из публикации по одной очень трудно, т.к. таблиц в базе очень много (несколько сотен, из которых десятка 3-4 реплицировать не надо). Есть случаи, когда не надо реплицировать определенные поля из таблицы. Список таблиц и полей при обновлении меняется, поэтому просто заскриптовать публикацию нельзя. И баз таких несколько.
Скрипт пробегает по списку таблиц и полей, которые надо исключить и формирует t-sql запрос на формирование публикации, где эти таблицы исключены, потом этот запрос выполняет - на выходе готовая публикация только с нужными полями и таблицами. Потом уже руками (можно и скриптом) несложно добавить подписчика и запустить процесс.
Я скрипт написал - все работает,

Вот тут и возникает проблема с хранением пароля - сейчас решается просто вбиванием пароля перед запуском джоба. Но хочется, чтобы было все красиво - одним кликом.
26 фев 15, 18:17    [17317440]     Ответить | Цитировать Сообщить модератору
 Re: Безопасно ли хранить пароль в заданиях агента?  [new]
a_voronin
Member

Откуда: Москва
Сообщений: 4846
red88888
a_voronin
пропущено...


Вы не хотите освоить SSIS? Там с настройкой строй соединений и шифрованием данных имеется возможности.

http://www.mssqltips.com/sqlservertip/2091/securing-your-ssis-packages-using-package-protection-level/

Боюсь, в моем случае это не поможет.

Поясню:
У нас в репликации транзакций участвует ограниченное количество таблиц. При очередном обновлении базы, когда репликации приходится отключать, возникает проблема их последующего поднятия. Выковыривать таблицы из публикации по одной очень трудно, т.к. таблиц в базе очень много (несколько сотен, из которых десятка 3-4 реплицировать не надо). Есть случаи, когда не надо реплицировать определенные поля из таблицы. Список таблиц и полей при обновлении меняется, поэтому просто заскриптовать публикацию нельзя. И баз таких несколько.
Скрипт пробегает по списку таблиц и полей, которые надо исключить и формирует t-sql запрос на формирование публикации, где эти таблицы исключены, потом этот запрос выполняет - на выходе готовая публикация только с нужными полями и таблицами. Потом уже руками (можно и скриптом) несложно добавить подписчика и запустить процесс.
Я скрипт написал - все работает,

Вот тут и возникает проблема с хранением пароля - сейчас решается просто вбиванием пароля перед запуском джоба. Но хочется, чтобы было все красиво - одним кликом.


Я попытаюсь ещё раз наставить вас на путь истинный вот этой ссылкой, но на этой мои возможности исчерпываются.

https://msdn.microsoft.com/en-us/library/ms141204.aspx
26 фев 15, 19:59    [17317774]     Ответить | Цитировать Сообщить модератору
 Re: Безопасно ли хранить пароль в заданиях агента?  [new]
Glory
Member

Откуда:
Сообщений: 104751
red88888
Вот тут и возникает проблема с хранением пароля - сейчас решается просто вбиванием пароля перед запуском джоба. Но хочется, чтобы было все красиво - одним кликом.

Какой смысл вбивания в шаг джоба текста вызова процедуры с параметром ?
Джоб то кто будет запускать "одним кликом" ?
26 фев 15, 22:00    [17318252]     Ответить | Цитировать Сообщить модератору
 Re: Безопасно ли хранить пароль в заданиях агента?  [new]
red88888
Member

Откуда:
Сообщений: 130
Glory
red88888
Вот тут и возникает проблема с хранением пароля - сейчас решается просто вбиванием пароля перед запуском джоба. Но хочется, чтобы было все красиво - одним кликом.

Какой смысл вбивания в шаг джоба текста вызова процедуры с параметром ?
Джоб то кто будет запускать "одним кликом" ?

А как по-другому?
Джоб запускаю я
27 фев 15, 09:33    [17319330]     Ответить | Цитировать Сообщить модератору
 Re: Безопасно ли хранить пароль в заданиях агента?  [new]
red88888
Member

Откуда:
Сообщений: 130
a_voronin
red88888
пропущено...

Боюсь, в моем случае это не поможет.

Поясню:
У нас в репликации транзакций участвует ограниченное количество таблиц. При очередном обновлении базы, когда репликации приходится отключать, возникает проблема их последующего поднятия. Выковыривать таблицы из публикации по одной очень трудно, т.к. таблиц в базе очень много (несколько сотен, из которых десятка 3-4 реплицировать не надо). Есть случаи, когда не надо реплицировать определенные поля из таблицы. Список таблиц и полей при обновлении меняется, поэтому просто заскриптовать публикацию нельзя. И баз таких несколько.
Скрипт пробегает по списку таблиц и полей, которые надо исключить и формирует t-sql запрос на формирование публикации, где эти таблицы исключены, потом этот запрос выполняет - на выходе готовая публикация только с нужными полями и таблицами. Потом уже руками (можно и скриптом) несложно добавить подписчика и запустить процесс.
Я скрипт написал - все работает,

Вот тут и возникает проблема с хранением пароля - сейчас решается просто вбиванием пароля перед запуском джоба. Но хочется, чтобы было все красиво - одним кликом.


Я попытаюсь ещё раз наставить вас на путь истинный вот этой ссылкой, но на этой мои возможности исчерпываются.

https://msdn.microsoft.com/en-us/library/ms141204.aspx


Мне нужно автоматизировать создание публикации для репликации транзакций. То, что вы предлагаете ИМХО совсем не тоже самое. У меня базы очень большие и нужна постоянная актуальность данных.
27 фев 15, 09:37    [17319343]     Ответить | Цитировать Сообщить модератору
 Re: Безопасно ли хранить пароль в заданиях агента?  [new]
Jaffar
Member

Откуда:
Сообщений: 633
red88888,

ВСе же просто
1.заходите на сервер под админом
2Создаете процедуру, которая делает то что вам нужно(засуньте в нее ваш скрипт),
в ней укажите следующее
create procedure proc_1(@a int)
with execute as 'admin'
AS
BEGIN


END;


with execute as 'admin' -- указывает на то что тело процедуры будет выполнено под учеткой 'admin', в независимости от того кто эту процедуру вызвал.

3.дайте грант на эту процедуру тому логину который запускает job.

4.в job`e используйте процедуру. т.е. просто напишите

exec proc1 123

и наслаждайтесь.





PS: Сnранно что вам e..ут мозги уже ~ 15 постов и никто не предложил этот вариант..... :D
27 фев 15, 10:43    [17319601]     Ответить | Цитировать Сообщить модератору
 Re: Безопасно ли хранить пароль в заданиях агента?  [new]
red88888
Member

Откуда:
Сообщений: 130
Jaffar,

Спасибо за идею - попробую такой вариант!
27 фев 15, 10:48    [17319638]     Ответить | Цитировать Сообщить модератору
 Re: Безопасно ли хранить пароль в заданиях агента?  [new]
alexeyvg
Member

Откуда: Moscow
Сообщений: 31912
Jaffar
PS: Сnранно что вам e..ут мозги уже ~ 15 постов и никто не предложил этот вариант..... :D
Да надуманная какая то проблема. Положил пароль в скрипт джоба - и ладно :-)
27 фев 15, 11:12    [17319839]     Ответить | Цитировать Сообщить модератору
 Re: Безопасно ли хранить пароль в заданиях агента?  [new]
red88888
Member

Откуда:
Сообщений: 130
alexeyvg
Jaffar
PS: Сnранно что вам e..ут мозги уже ~ 15 постов и никто не предложил этот вариант..... :D
Да надуманная какая то проблема. Положил пароль в скрипт джоба - и ладно :-)

Так я с этого и начал: насколько это безопасно и правильно? :)
27 фев 15, 11:27    [17319953]     Ответить | Цитировать Сообщить модератору
 Re: Безопасно ли хранить пароль в заданиях агента?  [new]
Владислав Колосов
Member

Откуда:
Сообщений: 8725
red88888,

а почему это опасно? От админа нет защиты, не придумали.
27 фев 15, 11:58    [17320164]     Ответить | Цитировать Сообщить модератору
 Re: Безопасно ли хранить пароль в заданиях агента?  [new]
alexeyvg
Member

Откуда: Moscow
Сообщений: 31912
red88888
alexeyvg
пропущено...
Да надуманная какая то проблема. Положил пароль в скрипт джоба - и ладно :-)

Так я с этого и начал: насколько это безопасно и правильно? :)
Это конечно противоречит основным принципам защиты. Желательно уменьшать вероятность попадания паролей в чужие руки. Например, получив бакап системной базы, можно будет узнать этот пароль.

Но в общем штатная защита не так уж плоха; если не давать кому попало бакап, если не давать кому попало права на просмотр джобов, если не давать кому попало права на трейс сети, то этот текст так просто не прочитать. То есть прямых дыр безопасности тут нет.

Так что оцнивайте риски.

Как вариант, можно зашивать такое в SSIS пакеты - в них предусмотрена разного рода защита. Или в своё приложение.
27 фев 15, 17:18    [17322444]     Ответить | Цитировать Сообщить модератору
Все форумы / Microsoft SQL Server Ответить