Добро пожаловать в форум, Guest  >>   Войти | Регистрация | Поиск | Правила | В избранное | Подписаться
Все форумы / Microsoft SQL Server Новый топик    Ответить
 некое ограничение доступа к линкованному серверу.  [new]
denis_viktorovich
Member

Откуда: Екб
Сообщений: 1171
Доброго времени суток!
Требуется сделать странное. Есть сервер MS SQL 2008 R2, к нему прилинкованы пара серверов (доступ по логину и паролю). Хотелось бы чтобы в коде процедуры была возможность запускать процы с линкедсервера с правами данного логина, а под правами например SA писать какието инсерты, просматривать структуру базы и т.д. было бы невозможно?
10 июл 19, 12:33    [21924119]     Ответить | Цитировать Сообщить модератору
 Re: некое ограничение доступа к линкованному серверу.  [new]
denis_viktorovich
Member

Откуда: Екб
Сообщений: 1171
denis_viktorovich,

Только написал вопрос и понял, что сопоставление имен наверное то, что надо.
10 июл 19, 12:40    [21924120]     Ответить | Цитировать Сообщить модератору
 Re: некое ограничение доступа к линкованному серверу.  [new]
Владислав Колосов
Member

Откуда:
Сообщений: 6853
denis_viktorovich,

второй линк создайте с логином, имеющим нужные права.
10 июл 19, 15:38    [21924250]     Ответить | Цитировать Сообщить модератору
 Re: некое ограничение доступа к линкованному серверу.  [new]
Владислав Колосов
Member

Откуда:
Сообщений: 6853
Но это дыра в безопасности.
10 июл 19, 15:39    [21924251]     Ответить | Цитировать Сообщить модератору
 Re: некое ограничение доступа к линкованному серверу.  [new]
denis_viktorovich
Member

Откуда: Екб
Сообщений: 1171
Владислав Колосов
denis_viktorovich,

второй линк создайте с логином, имеющим нужные права.


Честно говоря не понял мысли. У меня и так оба линка с логином имеющим нужные права. Смысл в том, что этот сервер будет территориально в другом месте, админить его будут другие люди. Хотелось бы подстраховаться от шалостей скучающего админа например.
10 июл 19, 16:24    [21924289]     Ответить | Цитировать Сообщить модератору
 Re: некое ограничение доступа к линкованному серверу.  [new]
denis_viktorovich
Member

Откуда: Екб
Сообщений: 1171
denis_viktorovich,

я пока думаю в настройках линка поставить сопоставление учетной под которой программа выполняет нужные действия нужному логину, а остальным "Соединение не устанавливать". Другое дело, что как я понимаю, с нормальными правами на сервере всегда можно в это сопоставление подставить свой логин.
10 июл 19, 16:30    [21924294]     Ответить | Цитировать Сообщить модератору
 Re: некое ограничение доступа к линкованному серверу.  [new]
Gerros
Member

Откуда: Харьков
Сообщений: 471
Если вы не хотите чтобы "другие люди" что-то могли поломать на двух прилинкованных серверах, не давайте им паролей SA этих серверов.
Использовать виндовую аутентификацию возможности нет?
Ваша программа требует прав SA для работы?
10 июл 19, 23:53    [21924461]     Ответить | Цитировать Сообщить модератору
 Re: некое ограничение доступа к линкованному серверу.  [new]
uaggster
Member

Откуда:
Сообщений: 715
Gerros
Если вы не хотите чтобы "другие люди" что-то могли поломать на двух прилинкованных серверах, не давайте им паролей SA этих серверов.
Использовать виндовую аутентификацию возможности нет?
Ваша программа требует прав SA для работы?

Локальный админ сервера может запустить MSSQLSERVER в однопользовательском режиме и добавить нового пользователя в качестве сисадмина.
А на прилинкованный сервер - только по доменной учетка, в собственном контексте безопасности!
11 июл 19, 08:40    [21924513]     Ответить | Цитировать Сообщить модератору
 Re: некое ограничение доступа к линкованному серверу.  [new]
denis_viktorovich
Member

Откуда: Екб
Сообщений: 1171
Gerros
Если вы не хотите чтобы "другие люди" что-то могли поломать на двух прилинкованных серверах, не давайте им паролей SA этих серверов.
Использовать виндовую аутентификацию возможности нет?
Ваша программа требует прав SA для работы?


Паролей СА никто не дает конечно, есть только логин и пароль который имеет все необходимые права,
виндовую не получится, т.к. прилинкованные серверы - не MS SQL,
прав SA она не требует.

я видимо сумбурно описал вопрос. Суть в чем - с этими двумя линками работают хранимые процедуры MS SQL, и мне просто не хотелось бы, чтобы зайдя MS SQL на сервер через менеджмент студию можно было открыть таблицы линкованного сервера и попытаться что то записать / удалить напрямую а не через хранимки.
Пока придумал сопоставить учетную, под которой работает приложение этому логину и паролю, а остальных не пускать. Потенциально понимаю, что если есть права на редактирование настроек линка, то можно вместо этой учетной подставить другую и обойти эту мою хитрость. Но лучшего варианта пока не вижу.
11 июл 19, 09:04    [21924521]     Ответить | Цитировать Сообщить модератору
 Re: некое ограничение доступа к линкованному серверу.  [new]
alexeyvg
Member

Откуда: Moscow
Сообщений: 29341
denis_viktorovich
Потенциально понимаю, что если есть права на редактирование настроек линка, то можно вместо этой учетной подставить другую и обойти эту мою хитрость. Но лучшего варианта пока не вижу.
Раз защитить всё равно не получилось, то зачем создавать дополнительные проблемы для работы?
Вы докладываете начальству, что "да, сделал, как вы сказали, никто, кроме меня, доступа не имеет", а на самом деле вы сделали защиту от случайного чтения. Вы же потом будете виноватым, когда обман раскроется.
11 июл 19, 09:44    [21924557]     Ответить | Цитировать Сообщить модератору
 Re: некое ограничение доступа к линкованному серверу.  [new]
Gerros
Member

Откуда: Харьков
Сообщений: 471
Ваше приложение дёргает хранимки на MS SQL, а хранимки меняют данные на линкованных [не MS SQL] серверах; при этом линкованные серверы администрируете Вы, а сиквел - какие-то другие люди - я правильно понимаю?
Те серверы, которые не MS SQL, не умеют хранимые процедуры?

Защита должна обеспечиваться теми системами, которые Вы администрируете. В данном случае - линкованными серверами. Потому что защищаться от админа - дело неблагодарное.
11 июл 19, 17:15    [21925109]     Ответить | Цитировать Сообщить модератору
 Re: некое ограничение доступа к линкованному серверу.  [new]
vikkiv
Member

Откуда: London
Сообщений: 2470
denis_viktorovich
...то можно вместо этой учетной подставить другую и обойти эту мою хитрость...
Чтобы поставить другую - нужно её знать,
мораль:
1) не раздавать кому попало учётные записи с паролями
2) наделять эти учётные записи соответствующими правами (ограниченно только тем что им можно делать)
3) если уж так необходимо - вести аудит кто и что делал на внешней стороне (не MSSQL)
ну и в первую очередь - не надо раздавать кому-попало/всем подряд права админа (и sa) на MSSQL
Остальное (хоть на каждого пользователя) прописывается соответствующими ограничениями здесь
(можно остальным дать минимальный guest в последнем пункте):

К сообщению приложен файл. Размер - 77Kb
11 июл 19, 17:44    [21925142]     Ответить | Цитировать Сообщить модератору
 Re: некое ограничение доступа к линкованному серверу.  [new]
komrad
Member

Откуда: Msk -> Utrecht
Сообщений: 5011
vikkiv
ну и в первую очередь - не надо раздавать кому-попало/всем подряд права админа (и sa) на MSSQL

имея админские права на хост, получить админский доступ в сиквел можно за пару-тройку минут
11 июл 19, 18:16    [21925175]     Ответить | Цитировать Сообщить модератору
 Re: некое ограничение доступа к линкованному серверу.  [new]
vikkiv
Member

Откуда: London
Сообщений: 2470
komrad,

ну я больше за штатный режим работы вообще-то,
когда по горячке вдруг в панике полез не туда и начал класать всё подряд,
а так-то можно конечно (да и ключи криптографии тоже на диске и в базе хранятся),
только какой ценой?
это ведь как минимум перезапуск сервиса (даже если мутить voodoo с system/sysadmin),
т.е. совсем другие действия с другими целями (требующие иной квалификации).
а за такое по ушам быстро прилетит, по факту это явно не случай с ТС - там намного проще
11 июл 19, 18:57    [21925204]     Ответить | Цитировать Сообщить модератору
 Re: некое ограничение доступа к линкованному серверу.  [new]
denis_viktorovich
Member

Откуда: Екб
Сообщений: 1171
vikkiv
denis_viktorovich
...то можно вместо этой учетной подставить другую и обойти эту мою хитрость...
Чтобы поставить другую - нужно её знать,
мораль:
1) не раздавать кому попало учётные записи с паролями
2) наделять эти учётные записи соответствующими правами (ограниченно только тем что им можно делать)
3) если уж так необходимо - вести аудит кто и что делал на внешней стороне (не MSSQL)
ну и в первую очередь - не надо раздавать кому-попало/всем подряд права админа (и sa) на MSSQL
Остальное (хоть на каждого пользователя) прописывается соответствующими ограничениями здесь
(можно остальным дать минимальный guest в последнем пункте):




Так я и сделал ровно как на картинке, смущает то, что если есть адм. права на серваке, можно вместо my_write_user написать другой логин и это ведь не запретишь.
12 июл 19, 09:21    [21925427]     Ответить | Цитировать Сообщить модератору
 Re: некое ограничение доступа к линкованному серверу.  [new]
alexeyvg
Member

Откуда: Moscow
Сообщений: 29341
denis_viktorovich
смущает то, что если есть адм. права на серваке, можно вместо my_write_user написать другой логин и это ведь не запретишь.
От админа защититься нельзя.
12 июл 19, 13:35    [21925703]     Ответить | Цитировать Сообщить модератору
 Re: некое ограничение доступа к линкованному серверу.  [new]
vikkiv
Member

Откуда: London
Сообщений: 2470
denis_viktorovich
..что если есть адм. права на серваке..
админ на Windows и админ на SQL Server как выше заметили - немного разные вещи,
по идее админу на SQL Server там нечего лазить, а если нормально права настроены
то админу на Windows нужно будет поднапрячься чтобы стать админом на SQL Server.

и да, похоже в твоём случае против админа на SQL Server-e ничего особо не сделаешь.
12 июл 19, 14:29    [21925747]     Ответить | Цитировать Сообщить модератору
 Re: некое ограничение доступа к линкованному серверу.  [new]
msLex
Member

Откуда:
Сообщений: 6759
vikkiv
а если нормально права настроены
то админу на Windows нужно будет поднапрячься чтобы стать админом на SQL Server.


Даже напрягаться не надо

https://docs.microsoft.com/ru-ru/sql/database-engine/configure-windows/start-sql-server-in-single-user-mode?view=sql-server-2017


Starting SQL Server in single-user mode enables any member of the computer's local Administrators group to connect to the instance of SQL Server as a member of the sysadmin fixed server role. For more information, see Connect to SQL Server When System Administrators Are Locked Out.
12 июл 19, 15:00    [21925787]     Ответить | Цитировать Сообщить модератору
 Re: некое ограничение доступа к линкованному серверу.  [new]
vikkiv
Member

Откуда: London
Сообщений: 2470
msLex
..Даже напрягаться не надо..
я и сам конечно не особо читатель, но тут ведь буквально контекст несколькими постами выше?
vikkiv
..только какой ценой?
это ведь как минимум перезапуск сервиса (даже если мутить voodoo с system/sysadmin),
т.е. совсем другие действия с другими целями (требующие иной квалификации).
а за такое по ушам быстро прилетит, по факту это явно не случай с ТС - там намного проще..
12 июл 19, 15:25    [21925808]     Ответить | Цитировать Сообщить модератору
 Re: некое ограничение доступа к линкованному серверу.  [new]
Yasha123
Member

Откуда:
Сообщений: 1577
vikkiv
..только какой ценой?
это ведь как минимум перезапуск сервиса

ТС на 2008 R2,
там NT AUTHORITY\SYSTEM - syadmin.
PsExec с ключами -s -i под виндовым админом
и вот он уже сисадмин сервера без рестарта службы
12 июл 19, 16:18    [21925887]     Ответить | Цитировать Сообщить модератору
 Re: некое ограничение доступа к линкованному серверу.  [new]
msLex
Member

Откуда:
Сообщений: 6759
vikkiv
..только какой ценой?
это ведь как минимум перезапуск сервиса (даже если мутить voodoo с system/sysadmin),
т.е. совсем другие действия с другими целями (требующие иной квалификации).


Какой другой квалификации? остановка и запуск сервиса? Не смешите.


vikkiv
по факту это явно не случай с ТС - там намного проще..


я отвечал именно на ваше утверждение

vikkiv
а если нормально права настроены
то админу на Windows нужно будет поднапрячься чтобы стать админом на SQL Server.


По факту, локальный админ винды получает sysadmin-а на SQLSever-е за 5 минут, при этом вообще не напрягаясь.
По ссылке выше прям пошаговая инструкция есть для тех, кто про SQLServer только слышал.
12 июл 19, 16:34    [21925910]     Ответить | Цитировать Сообщить модератору
 Re: некое ограничение доступа к линкованному серверу.  [new]
Yasha123
Member

Откуда:
Сообщений: 1577
msLex,
нет,
как я понимаю его высказывание,
vikkiv говорит, что за перезапуск можно и хорошенько получить
(типа если это сервер 7х24,
а кто-то ради получения прав устроит ему простой)
12 июл 19, 16:42    [21925921]     Ответить | Цитировать Сообщить модератору
 Re: некое ограничение доступа к линкованному серверу.  [new]
alexeyvg
Member

Откуда: Moscow
Сообщений: 29341
Yasha123
vikkiv говорит, что за перезапуск можно и хорошенько получить
(типа если это сервер 7х24,
а кто-то ради получения прав устроит ему простой)
Тут важно, что denis_viktorovich говорит, а не vikkiv :-)
ТС же защищается от злоумышленника, а не от случайного повреждения.
А злоумышленник-админ может найти выход.
Например, выполнить эти действия во время плановой перезагрузки сервера, скажем, при накатывании обновлений.
12 июл 19, 17:17    [21925956]     Ответить | Цитировать Сообщить модератору
 Re: некое ограничение доступа к линкованному серверу.  [new]
vikkiv
Member

Откуда: London
Сообщений: 2470
ну хорошо-хорошо, ушёл есть шляпу :\
12 июл 19, 18:05    [21925974]     Ответить | Цитировать Сообщить модератору
 Re: некое ограничение доступа к линкованному серверу.  [new]
Gerros
Member

Откуда: Харьков
Сообщений: 471
На какой СУБД крутятся Ваши линкед серверы?
12 июл 19, 21:57    [21926049]     Ответить | Цитировать Сообщить модератору
Все форумы / Microsoft SQL Server Ответить