Добро пожаловать в форум, Guest  >>   Войти | Регистрация | Поиск | Правила | В избранное | Подписаться
Все форумы / Microsoft SQL Server Новый топик    Ответить
 отключение xp_cmdshell  [new]
savosin_sergey
Member

Откуда: Москва
Сообщений: 451
народ! есть ли способ отключить функцию xp_cmdshell, да так, чтобы её не мог запустить sa. Просто удалить не пойдёт -- sa сможет её добаить из xpsql70.dll.
может, её (xpsql70.dll) вообще удалить? другого выхода я не вижу (вводить пароль на sa без мазы -- машина стоит в конторе программистов, а не пользователей)
30 сен 04, 18:09    [1000331]     Ответить | Цитировать Сообщить модератору
 Re: отключение xp_cmdshell  [new]
queman
Member

Откуда:
Сообщений: 1
А какой такой глубокий смысл в этой операции?
Создай какого-нибудь sa1 и дай ему только те права какие нужно
А пароль sa подели на три части заклей в разные конверты и запечатай сургучной печатью
30 сен 04, 23:28    [1000784]     Ответить | Цитировать Сообщить модератору
 Re: отключение xp_cmdshell  [new]
Glory
Member

Откуда:
Сообщений: 104760
есть ли способ отключить функцию xp_cmdshell, да так, чтобы её не мог запустить sa.
Назначьте учтеной записи, под которой стратует sqlserver минимальное количество прав. И пускай себе sa на здоровье запускает xp_cmdshell
30 сен 04, 23:32    [1000787]     Ответить | Цитировать Сообщить модератору
 Re: отключение xp_cmdshell  [new]
savosin_sergey
Member

Откуда: Москва
Сообщений: 451
2 glory: можно поп-подробнее, речь идёт об учётной записи windows?
1 окт 04, 13:26    [1002071]     Ответить | Цитировать Сообщить модератору
 Re: отключение xp_cmdshell  [new]
Glory
Member

Откуда:
Сообщений: 104760
Для sa процедура xp_cmdshell запускается с такими же правами что и учетной записи, назначенной сервису MSSQQLSERVER.
Значит sa, запустив xp_cmdshell, сможет сделать только то, что разрешено этой учетной записи. Если она у вас является администратором домена, то извините - это уже ваша беда.
Подробности есть в BOL - Setting up Windows Services Accounts
1 окт 04, 13:34    [1002096]     Ответить | Цитировать Сообщить модератору
 Re: отключение xp_cmdshell  [new]
savosin_sergey
Member

Откуда: Москва
Сообщений: 451
2 Glory: указал я службе mssqlserver пользователя с правами гостя, но он (пользователь, выполняющий xp_cmdshell) всё равно сможет, например, файлы удалять на винте.. а хотелось бы вырубить функцию xp_cmdshell вообще..
что обидно, если есть на машине открытые лдя записи директории (ресурсы), то некто всё равно может положить туда свою xpsql70.dll (или что там у него на уме!), прописать соответствующую функицию и выполнить! в таком случае, даже удаление xpsq70.dll не поможет..
придётся закрывать все директории, удалять xpsql70.dll, ставить файр-воллы, вешать пароль на БИОС, и, наконец, задать пароль sa!
1 окт 04, 15:24    [1002454]     Ответить | Цитировать Сообщить модератору
 Re: отключение xp_cmdshell  [new]
Glory
Member

Откуда:
Сообщений: 104760
2 Glory: указал я службе mssqlserver пользователя с правами гостя, но он (пользователь, выполняющий xp_cmdshell) всё равно сможет, например, файлы удалять на винте.. а хотелось бы вырубить функцию xp_cmdshell вообще
Что-то не верится мне. Вы хоть в BOL прочитали указанную статью ?
1 окт 04, 15:27    [1002475]     Ответить | Цитировать Сообщить модератору
 Re: отключение xp_cmdshell  [new]
savosin_sergey
Member

Откуда: Москва
Сообщений: 451
в BOL, прилагающихся к mssqlserver 7.0 "Setting up Windows Services Accounts" я не нашёл, но в поиске по указанной фразе было, например, "Creating SQL Server Services User Accounts". с правами администратора я создал специального пользователся, дал ему права гостя, а службе mssqlserver назначит этого созданного пользователя. я проверял, теперь в xp_cmdshell "set" видны переменные окрыжения именно Гостя.. но кто Гостю запретит файлы удалять? а именно этим и тянет некоторых "пользователей" воспользоваться. конечно, теперь из xp_cmdshell добавить польхзователя в систему с правами администратора нельзя будет.. но навешивать на весь ntfs-ный диск запрет Гостю удалять файлы не хочется..
1 окт 04, 15:37    [1002529]     Ответить | Цитировать Сообщить модератору
 Re: отключение xp_cmdshell  [new]
Glory
Member

Откуда:
Сообщений: 104760
но кто Гостю запретит файлы удалять?
Как кто - администратор машины/сети/домена.

но навешивать на весь ntfs-ный диск запрет Гостю удалять файлы не хочется..
Интересно а откуда он изначально получил права на удаление этих файлов ?
1 окт 04, 15:41    [1002543]     Ответить | Цитировать Сообщить модератору
 Re: отключение xp_cmdshell  [new]
savosin_sergey
Member

Откуда: Москва
Сообщений: 451
представляю, что станет с MFT-таблицей (или как её, где хранятся права к файлам?). по-умолчанию, всем пользователям предоставлялся полный доступ.
1 окт 04, 15:46    [1002582]     Ответить | Цитировать Сообщить модератору
 Re: отключение xp_cmdshell  [new]
Glory
Member

Откуда:
Сообщений: 104760
представляю, что станет с MFT-таблицей (или как её, где хранятся права к файлам?).
Вообще-то не обязательно назначать права на каждый файл в каждой директории. Есть такое понятие как наследуемость.

по-умолчанию, всем пользователям предоставлялся полный доступ.
Что-то я тогда не понял. Если всем все можно, то почему вдруг sa ничего нельзя. Он что не сможет просто доступиться к серверу не через xp_cmdshell и удалить файлы ? В чем цимус ?
1 окт 04, 16:28    [1002797]     Ответить | Цитировать Сообщить модератору
 Re: отключение xp_cmdshell  [new]
savosin_sergey
Member

Откуда: Москва
Сообщений: 451
в том-то и дело, что sa можно удалять файлы (под учётным именем, кот. указано в службе). но мне это не приятно, что некто лезет, и удаляет/переименовывает файлы на моём винчестере только потому, что у меня запущен mssqlserver..
а про наследуемость я не понял; у меня на диске 213 тысяч файлов, пол часа права изменялись (для эксперимента попробовал дать полный доспут "пользователям" и "опытным пользователям" (winnt 4.0 workstation sp6))
наследуемость проявляется только при создании файла? или нет?
1 окт 04, 16:50    [1002913]     Ответить | Цитировать Сообщить модератору
 Re: отключение xp_cmdshell  [new]
Glory
Member

Откуда:
Сообщений: 104760
в том-то и дело, что sa можно удалять файлы (под учётным именем, кот. указано в службе). но мне это не приятно, что некто лезет, и удаляет/переименовывает файлы на моём винчестере только потому, что у меня запущен mssqlserver..

Ну присоединиться тот кто работает под sa напрямую на вашу машину. Ну и удалит теже файлы не запуская xp_cmdshell. Какая разница-то ? Ведб права для Гостя у вас для этого есть.

а про наследуемость я не понял; у меня на диске 213 тысяч файлов, пол часа права изменялись (для эксперимента попробовал дать полный доспут "пользователям" и "опытным пользователям" (winnt 4.0 workstation sp6))
Ну меняется то один раз.
1 окт 04, 16:55    [1002941]     Ответить | Цитировать Сообщить модератору
 Re: отключение xp_cmdshell  [new]
savosin_sergey
Member

Откуда: Москва
Сообщений: 451
не понимаю, куда он, Гость, напрямую присоеденится? к ресурсу c$? туда гостям нельзя, только админам. так что через файловый сервер Гость ничего натворить не может (штатными средствами). а вот запустив xp_cmdshell "del c:\directory\file_name.extension /y" он-таки может удалить.
или так:
xp_cmdshell "net user user1 /add"
xp_cmdshell "net localgoup Администраторы user1 /add"
1 окт 04, 17:48    [1003199]     Ответить | Цитировать Сообщить модератору
 Re: отключение xp_cmdshell  [new]
Glory
Member

Откуда:
Сообщений: 104760
а вот запустив xp_cmdshell "del c:\directory\file_name.extension /y" он-таки может удалить.
или так:


Ну так отберите эти права у Геста ? В чем проблема-то ?
3 окт 04, 15:15    [1004568]     Ответить | Цитировать Сообщить модератору
 Re: отключение xp_cmdshell  [new]
savosin_sergey
Member

Откуда: Москва
Сообщений: 451
к сожалению, не знаю как Гостю запретить удалять файлы.. а всем файлам задавать разрешение на доступ всем, кроме гостя (например, пользователям и опытным пользователям) меня не устраивает (долго, да и программы некоторые работать перестают)
5 окт 04, 13:58    [1009425]     Ответить | Цитировать Сообщить модератору
Все форумы / Microsoft SQL Server Ответить