Добро пожаловать в форум, Guest >> Войти | Регистрация | Поиск | Правила | | В избранное | Подписаться | ||
Все форумы / Microsoft SQL Server |
![]() ![]() |
denis_viktorovich Member Откуда: Екб Сообщений: 1218 |
Доброго времени суток! Требуется сделать странное. Есть сервер MS SQL 2008 R2, к нему прилинкованы пара серверов (доступ по логину и паролю). Хотелось бы чтобы в коде процедуры была возможность запускать процы с линкедсервера с правами данного логина, а под правами например SA писать какието инсерты, просматривать структуру базы и т.д. было бы невозможно? |
10 июл 19, 12:33 [21924119] Ответить | Цитировать Сообщить модератору |
denis_viktorovich Member Откуда: Екб Сообщений: 1218 |
denis_viktorovich, Только написал вопрос и понял, что сопоставление имен наверное то, что надо. |
10 июл 19, 12:40 [21924120] Ответить | Цитировать Сообщить модератору |
Владислав Колосов Member Откуда: Сообщений: 8350 |
denis_viktorovich, второй линк создайте с логином, имеющим нужные права. |
10 июл 19, 15:38 [21924250] Ответить | Цитировать Сообщить модератору |
Владислав Колосов Member Откуда: Сообщений: 8350 |
Но это дыра в безопасности. |
10 июл 19, 15:39 [21924251] Ответить | Цитировать Сообщить модератору |
denis_viktorovich Member Откуда: Екб Сообщений: 1218 |
Честно говоря не понял мысли. У меня и так оба линка с логином имеющим нужные права. Смысл в том, что этот сервер будет территориально в другом месте, админить его будут другие люди. Хотелось бы подстраховаться от шалостей скучающего админа например. |
||
10 июл 19, 16:24 [21924289] Ответить | Цитировать Сообщить модератору |
denis_viktorovich Member Откуда: Екб Сообщений: 1218 |
denis_viktorovich, я пока думаю в настройках линка поставить сопоставление учетной под которой программа выполняет нужные действия нужному логину, а остальным "Соединение не устанавливать". Другое дело, что как я понимаю, с нормальными правами на сервере всегда можно в это сопоставление подставить свой логин. |
10 июл 19, 16:30 [21924294] Ответить | Цитировать Сообщить модератору |
Gerros Member Откуда: Харьков Сообщений: 508 |
Если вы не хотите чтобы "другие люди" что-то могли поломать на двух прилинкованных серверах, не давайте им паролей SA этих серверов. Использовать виндовую аутентификацию возможности нет? Ваша программа требует прав SA для работы? |
10 июл 19, 23:53 [21924461] Ответить | Цитировать Сообщить модератору |
uaggster Member Откуда: Сообщений: 960 |
Локальный админ сервера может запустить MSSQLSERVER в однопользовательском режиме и добавить нового пользователя в качестве сисадмина. А на прилинкованный сервер - только по доменной учетка, в собственном контексте безопасности! |
||
11 июл 19, 08:40 [21924513] Ответить | Цитировать Сообщить модератору |
denis_viktorovich Member Откуда: Екб Сообщений: 1218 |
Паролей СА никто не дает конечно, есть только логин и пароль который имеет все необходимые права, виндовую не получится, т.к. прилинкованные серверы - не MS SQL, прав SA она не требует. я видимо сумбурно описал вопрос. Суть в чем - с этими двумя линками работают хранимые процедуры MS SQL, и мне просто не хотелось бы, чтобы зайдя MS SQL на сервер через менеджмент студию можно было открыть таблицы линкованного сервера и попытаться что то записать / удалить напрямую а не через хранимки. Пока придумал сопоставить учетную, под которой работает приложение этому логину и паролю, а остальных не пускать. Потенциально понимаю, что если есть права на редактирование настроек линка, то можно вместо этой учетной подставить другую и обойти эту мою хитрость. Но лучшего варианта пока не вижу. |
||
11 июл 19, 09:04 [21924521] Ответить | Цитировать Сообщить модератору |
alexeyvg Member Откуда: Moscow Сообщений: 31783 |
Вы докладываете начальству, что "да, сделал, как вы сказали, никто, кроме меня, доступа не имеет", а на самом деле вы сделали защиту от случайного чтения. Вы же потом будете виноватым, когда обман раскроется. |
||
11 июл 19, 09:44 [21924557] Ответить | Цитировать Сообщить модератору |
Gerros Member Откуда: Харьков Сообщений: 508 |
Ваше приложение дёргает хранимки на MS SQL, а хранимки меняют данные на линкованных [не MS SQL] серверах; при этом линкованные серверы администрируете Вы, а сиквел - какие-то другие люди - я правильно понимаю? Те серверы, которые не MS SQL, не умеют хранимые процедуры? Защита должна обеспечиваться теми системами, которые Вы администрируете. В данном случае - линкованными серверами. Потому что защищаться от админа - дело неблагодарное. |
11 июл 19, 17:15 [21925109] Ответить | Цитировать Сообщить модератору |
vikkiv Member Откуда: EU Сообщений: 2921 |
мораль: 1) не раздавать кому попало учётные записи с паролями 2) наделять эти учётные записи соответствующими правами (ограниченно только тем что им можно делать) 3) если уж так необходимо - вести аудит кто и что делал на внешней стороне (не MSSQL) ну и в первую очередь - не надо раздавать кому-попало/всем подряд права админа (и sa) на MSSQL Остальное (хоть на каждого пользователя) прописывается соответствующими ограничениями здесь (можно остальным дать минимальный guest в последнем пункте): К сообщению приложен файл. Размер - 77Kb |
||
11 июл 19, 17:44 [21925142] Ответить | Цитировать Сообщить модератору |
komrad Member Откуда: Сообщений: 5516 |
имея админские права на хост, получить админский доступ в сиквел можно за пару-тройку минут |
||
11 июл 19, 18:16 [21925175] Ответить | Цитировать Сообщить модератору |
vikkiv Member Откуда: EU Сообщений: 2921 |
komrad, ну я больше за штатный режим работы вообще-то, когда по горячке вдруг в панике полез не туда и начал класать всё подряд, а так-то можно конечно (да и ключи криптографии тоже на диске и в базе хранятся), только какой ценой? это ведь как минимум перезапуск сервиса (даже если мутить voodoo с system/sysadmin), т.е. совсем другие действия с другими целями (требующие иной квалификации). а за такое по ушам быстро прилетит, по факту это явно не случай с ТС - там намного проще |
11 июл 19, 18:57 [21925204] Ответить | Цитировать Сообщить модератору |
denis_viktorovich Member Откуда: Екб Сообщений: 1218 |
Так я и сделал ровно как на картинке, смущает то, что если есть адм. права на серваке, можно вместо my_write_user написать другой логин и это ведь не запретишь. |
||||
12 июл 19, 09:21 [21925427] Ответить | Цитировать Сообщить модератору |
alexeyvg Member Откуда: Moscow Сообщений: 31783 |
|
||
12 июл 19, 13:35 [21925703] Ответить | Цитировать Сообщить модератору |
vikkiv Member Откуда: EU Сообщений: 2921 |
по идее админу на SQL Server там нечего лазить, а если нормально права настроены то админу на Windows нужно будет поднапрячься чтобы стать админом на SQL Server. и да, похоже в твоём случае против админа на SQL Server-e ничего особо не сделаешь. |
||
12 июл 19, 14:29 [21925747] Ответить | Цитировать Сообщить модератору |
msLex Member Откуда: Сообщений: 8730 |
Даже напрягаться не надо https://docs.microsoft.com/ru-ru/sql/database-engine/configure-windows/start-sql-server-in-single-user-mode?view=sql-server-2017
|
||||
12 июл 19, 15:00 [21925787] Ответить | Цитировать Сообщить модератору |
vikkiv Member Откуда: EU Сообщений: 2921 |
|
||||
12 июл 19, 15:25 [21925808] Ответить | Цитировать Сообщить модератору |
Yasha123 Member Откуда: Сообщений: 1955 |
ТС на 2008 R2, там NT AUTHORITY\SYSTEM - syadmin. PsExec с ключами -s -i под виндовым админом и вот он уже сисадмин сервера без рестарта службы |
||
12 июл 19, 16:18 [21925887] Ответить | Цитировать Сообщить модератору |
msLex Member Откуда: Сообщений: 8730 |
Какой другой квалификации? остановка и запуск сервиса? Не смешите.
я отвечал именно на ваше утверждение
По факту, локальный админ винды получает sysadmin-а на SQLSever-е за 5 минут, при этом вообще не напрягаясь. По ссылке выше прям пошаговая инструкция есть для тех, кто про SQLServer только слышал. |
||||||
12 июл 19, 16:34 [21925910] Ответить | Цитировать Сообщить модератору |
Yasha123 Member Откуда: Сообщений: 1955 |
msLex, нет, как я понимаю его высказывание, vikkiv говорит, что за перезапуск можно и хорошенько получить (типа если это сервер 7х24, а кто-то ради получения прав устроит ему простой) |
12 июл 19, 16:42 [21925921] Ответить | Цитировать Сообщить модератору |
alexeyvg Member Откуда: Moscow Сообщений: 31783 |
ТС же защищается от злоумышленника, а не от случайного повреждения. А злоумышленник-админ может найти выход. Например, выполнить эти действия во время плановой перезагрузки сервера, скажем, при накатывании обновлений. |
||
12 июл 19, 17:17 [21925956] Ответить | Цитировать Сообщить модератору |
vikkiv Member Откуда: EU Сообщений: 2921 |
ну хорошо-хорошо, ушёл есть шляпу :\ |
12 июл 19, 18:05 [21925974] Ответить | Цитировать Сообщить модератору |
Gerros Member Откуда: Харьков Сообщений: 508 |
На какой СУБД крутятся Ваши линкед серверы? |
12 июл 19, 21:57 [21926049] Ответить | Цитировать Сообщить модератору |
Все форумы / Microsoft SQL Server | ![]() |