Добро пожаловать в форум, Guest  >>   Войти | Регистрация | Поиск | Правила | В избранное | Подписаться
Все форумы / Microsoft SQL Server Новый топик    Ответить
 Нужна помощь в нескольких грантах  [new]
Den_KP
Member

Откуда:
Сообщений: 211
Всем привет!
Кто сталкивался и знает чуть больше чем несколько ссылок которые мне удалось найти дайте пару мнение и советов

Вообще при новом проекте побрил ребят с sysadmin дал жесткие права для определенных юзеров.

Так они попросили еще вот это сделать
1. Пометить БД как надежный источник (alter database DB1 set trustworthy on)
2. Выдать права grant AUTHENTICATE to DB1_owner grant AUTHENTICATE SERVER to DB1_owner
3. Выдать права на OPENROWSET и OPENQUERY 


Вопрос: стоит ли давать такие права, что при первом погружении в них показывает что это вообще не безопасно и непонятно зачем они им.

Из того что нашел
1. Открывает потенциальное нарушение безопасности, позволяя любому коду получать доступ к внешним ресурсам в контексте олицетворения базы данных. Совершенно нормально разрешить вашей БД получать доступ к защищенным сетевым ресурсам с помощью кода, которым вы управляете, однако, возможно, было бы неразумно разрешать то же самое для любого кода.

Установка этого флага просто открывает двери для всех, кто получил разрешения dbo для конкретной БД, поскольку вы можете зарегистрировать любую сборку, и она будет иметь контекст олицетворения БД по своему усмотрению.

2. Это вообще как овнер и сисадмин я нашел
3. Вопрос видно тут будет только чтобы аудировалось это
20 ноя 19, 09:16    [22020267]     Ответить | Цитировать Сообщить модератору
 Re: Нужна помощь в нескольких грантах  [new]
alexeyvg
Member

Откуда: Moscow
Сообщений: 31326
Den_KP
Вопрос: стоит ли давать такие права, что при первом погружении в них показывает что это вообще не безопасно и непонятно зачем они им.
Так спросите, зачем им это. Откуда нам знать?

Вообще, если вы рулите сервером, и управляете секюрити, то именно вы должны ребятам рассказывать, как у сиквела там всё устроено, и предлагать им решения, которые позволят работать, имея при этом минимально необходимые права.
А то вы гуглите, но всё, что вы нагуглили, никакого отношения к принятию таких решений не имеет, это просто констатация фактов; но дать права, или не дать, определяется тем, можно их "не давать", или нельзя, а не страшными фразами типа "открывает двери для всех".
20 ноя 19, 10:29    [22020332]     Ответить | Цитировать Сообщить модератору
 Re: Нужна помощь в нескольких грантах  [new]
Yasha123
Member

Откуда:
Сообщений: 1833
автор
1. Пометить БД как надежный источник (alter database DB1 set trustworthy on)
2. Выдать права grant AUTHENTICATE to DB1_owner grant AUTHENTICATE SERVER to DB1_owner

при таком раскладе любой db_owner данной базы спокойно повышает себя до сисадмина
20 ноя 19, 10:36    [22020336]     Ответить | Цитировать Сообщить модератору
 Re: Нужна помощь в нескольких грантах  [new]
alexeyvg
Member

Откуда: Moscow
Сообщений: 31326
Yasha123
автор
1. Пометить БД как надежный источник (alter database DB1 set trustworthy on)
2. Выдать права grant AUTHENTICATE to DB1_owner grant AUTHENTICATE SERVER to DB1_owner

при таком раскладе любой db_owner данной базы спокойно повышает себя до сисадмина
Но этот факт можно залогировать.
20 ноя 19, 10:49    [22020347]     Ответить | Цитировать Сообщить модератору
 Re: Нужна помощь в нескольких грантах  [new]
Yasha123
Member

Откуда:
Сообщений: 1833
куда залогируете, оттуда и потереть можно.
да и какой смысл кулаками после драки махать?
выдаешь себе права, гадишь, где надо, следы заметаешь
20 ноя 19, 11:00    [22020363]     Ответить | Цитировать Сообщить модератору
 Re: Нужна помощь в нескольких грантах  [new]
Den_KP
Member

Откуда:
Сообщений: 211
alexeyvg,
Поэтому прежде чем спросить зачем им это нужно, я должен сам понять что это гранты означают. А далее уже имею понимание задам им вопрос...
20 ноя 19, 11:45    [22020397]     Ответить | Цитировать Сообщить модератору
 Re: Нужна помощь в нескольких грантах  [new]
Den_KP
Member

Откуда:
Сообщений: 211
Yasha123,

При включении 1-го пункта тоже?
20 ноя 19, 11:46    [22020399]     Ответить | Цитировать Сообщить модератору
 Re: Нужна помощь в нескольких грантах  [new]
invm
Member

Откуда: Москва
Сообщений: 9263
Den_KP
При включении 1-го пункта тоже?
Чтобы член db_owner мог сделать себя сисадмином, БД должна быть trustworthy и владелец БД должен быть сисадмином.
20 ноя 19, 12:10    [22020435]     Ответить | Цитировать Сообщить модератору
 Re: Нужна помощь в нескольких грантах  [new]
Den_KP
Member

Откуда:
Сообщений: 211
invm,

Понял, овнер не сисадмин.

Они сказали что будут использовать Broker-а, и я натыкался на одной статье что для брокера как раз необходимо проводить именно эти процедуры,

Вот так пишут:
1. Отметить базу как надёжный источник необходимо, т.к. есть обращения service broker к объектам за пределами базы-инициатора диалога, иначе все диалоги подвиснут в состоянии CO
2. отсутствие данных прав не позволяет обращаться к источникам через сервис брокер
3. у нас разработан стандартный механизм обращения к источникам данных через эти функции
20 ноя 19, 13:25    [22020566]     Ответить | Цитировать Сообщить модератору
 Re: Нужна помощь в нескольких грантах  [new]
invm
Member

Откуда: Москва
Сообщений: 9263
Den_KP
Вот так пишут:
1. Отметить базу как надёжный источник необходимо, т.к. есть обращения service broker к объектам за пределами базы-инициатора диалога, иначе все диалоги подвиснут в состоянии CO
2. отсутствие данных прав не позволяет обращаться к источникам через сервис брокер
3. у нас разработан стандартный механизм обращения к источникам данных через эти функции
Пускай инкапсулируют этот механизм в процедуру и подпишут ее сертификатом.
Тогда не потребуется trustworthy. Подробности в документации.
20 ноя 19, 13:41    [22020589]     Ответить | Цитировать Сообщить модератору
Все форумы / Microsoft SQL Server Ответить