Добро пожаловать в форум, Guest  >>   Войти | Регистрация | Поиск | Правила | В избранное | Подписаться
Все форумы / Microsoft SQL Server Новый топик    Ответить
Топик располагается на нескольких страницах: [1] 2   вперед  Ctrl      все
 Откуда у слабого юзера может быть такая сила ?  [new]
KOLCHOZ_POSTEVENT
Guest
Пожаловался один нач.проекта, что слабый юзер, которому можно только некоторые таблы посмотреть, селектит всё, что хочет.
Юзер соединяется через пароль, сервер 2005.
На уровне серверных ролей-полный ноль.
На уровне базы-никто, ни READER ни WRITER, ни ddladmin.
Стал я его тестироваь на одной таблице.
Сделал ему REVOKE на select от этой таблицы, по-фигу, читает, как ни в чём не бывало, создал свою сисадминною таблицу, грантов никому не дал, так он и её прочёл, можа, кто встречал ?
4 авг 09, 13:57    [7495683]     Ответить | Цитировать Сообщить модератору
 Re: Откуда у слабого юзера может быть такая сила ?  [new]
Glory
Member

Откуда:
Сообщений: 104760
KOLCHOZ_POSTEVENT

На уровне серверных ролей-полный ноль.

Это как проверялось ?
И что возвращяет select user_name() для этого коннекта ?
4 авг 09, 14:00    [7495710]     Ответить | Цитировать Сообщить модератору
 Re: Откуда у слабого юзера может быть такая сила ?  [new]
KOLCHOZ_POSTEVENT
Guest
Вернул своё имя, если я его скажу, уволят.
Ну, скажем, при подсоединении, пишу VASYA, так вот user_name() вернул VASYA.
4 авг 09, 14:03    [7495733]     Ответить | Цитировать Сообщить модератору
 Re: Откуда у слабого юзера может быть такая сила ?  [new]
Гавриленко Сергей Алексеевич
Member

Откуда: Moscow
Сообщений: 36827
А селектит поди через хранимую процедуру или вьюху, да?
4 авг 09, 14:07    [7495749]     Ответить | Цитировать Сообщить модератору
 Re: Откуда у слабого юзера может быть такая сила ?  [new]
Glory
Member

Откуда:
Сообщений: 104760
KOLCHOZ_POSTEVENT
Вернул своё имя, если я его скажу, уволят.
Ну, скажем, при подсоединении, пишу VASYA, так вот user_name() вернул VASYA.

Значит он не sa и не db_owner.
Что вернет
sp_helplogins 'VASYA' ?
4 авг 09, 14:07    [7495750]     Ответить | Цитировать Сообщить модератору
 Re: Откуда у слабого юзера может быть такая сила ?  [new]
KOLCHOZ_POSTEVENT
Guest
Селектит напрямую, sp_helplogins ничего такого нового не вернул.
На какой параметр взглянуть повнимательней ?
4 авг 09, 14:13    [7495787]     Ответить | Цитировать Сообщить модератору
 Re: Откуда у слабого юзера может быть такая сила ?  [new]
Ozerov
Member

Откуда: Москва
Сообщений: 3650
Так, а он не может входить в группу локальных администраторов сервера или, если доменная структура, то в Domain Admins ?
4 авг 09, 14:20    [7495830]     Ответить | Цитировать Сообщить модератору
 Re: Откуда у слабого юзера может быть такая сила ?  [new]
helloword
Member

Откуда:
Сообщений: 686
KOLCHOZ_POSTEVENT
Селектит напрямую, sp_helplogins ничего такого нового не вернул.
На какой параметр взглянуть повнимательней ?


с такой секретностью нужно на форум экстрасенсов писать)
4 авг 09, 14:21    [7495837]     Ответить | Цитировать Сообщить модератору
 Re: Откуда у слабого юзера может быть такая сила ?  [new]
Ozerov
Member

Откуда: Москва
Сообщений: 3650
Или, под "через пароль", Вы имели ввиду, что аутентификация SQL ?
4 авг 09, 14:23    [7495850]     Ответить | Цитировать Сообщить модератору
 Re: Откуда у слабого юзера может быть такая сила ?  [new]
KOLCHOZ_POSTEVENT
Guest
Оп-ля, товарищ Озеров, а ведь это мысль, вдруг его, по ошибке в сетевую группу затащили, а там , уже, права.
THANK-Ю.
Этого, правда, быть не должно, но в жизни бывает всё.
4 авг 09, 14:27    [7495874]     Ответить | Цитировать Сообщить модератору
 Re: Откуда у слабого юзера может быть такая сила ?  [new]
Glory
Member

Откуда:
Сообщений: 104760
KOLCHOZ_POSTEVENT
Селектит напрямую, sp_helplogins ничего такого нового не вернул.
На какой параметр взглянуть повнимательней ?


select uid,name, isaliased from sysusers where name = 'VASYA'
4 авг 09, 14:29    [7495888]     Ответить | Цитировать Сообщить модератору
 Re: Откуда у слабого юзера может быть такая сила ?  [new]
KOLCHOS_POSTEVENT
Guest
GLORY:
uid    name    isaliased
------ ------------------
9      VASYA   0
4 авг 09, 14:33    [7495916]     Ответить | Цитировать Сообщить модератору
 Re: Откуда у слабого юзера может быть такая сила ?  [new]
Glory
Member

Откуда:
Сообщений: 104760
KOLCHOZ_POSTEVENT
Оп-ля, товарищ Озеров, а ведь это мысль, вдруг его, по ошибке в сетевую группу затащили, а там , уже, права.
THANK-Ю.
Этого, правда, быть не должно, но в жизни бывает всё.

SQL Login вряд ли можно "затащить" в виндусовскую группу. Если конечно у вас SQL Login
4 авг 09, 14:36    [7495931]     Ответить | Цитировать Сообщить модератору
 Re: Откуда у слабого юзера может быть такая сила ?  [new]
KOLCHOZ_POSTEVENT
Guest
Всё так, GLORY, да только бывает такая весчь-суприз.
Пока в защите информации обед( а для них я тоже ноль, и причиной для бросания ложки не являюсь) списка групп, по которым этот кент проходит у меня не будет.
Но неужели группа может быть сильней моего REVOKE ?
Хотя, серверная роль, однако, вещь неслабая.
4 авг 09, 14:43    [7495988]     Ответить | Цитировать Сообщить модератору
 Re: Откуда у слабого юзера может быть такая сила ?  [new]
Glory
Member

Откуда:
Сообщений: 104760
KOLCHOZ_POSTEVENT
Всё так, GLORY, да только бывает такая весчь-суприз.
Пока в защите информации обед( а для них я тоже ноль, и причиной для бросания ложки не являюсь) списка групп, по которым этот кент проходит у меня не будет.
Но неужели группа может быть сильней моего REVOKE ?
Хотя, серверная роль, однако, вещь неслабая.

REVOKE отменяет(не запрещает !) явные (не наследуемые !) права на объекты
Так что, если ваш логин/пользователь получил права через других, то ему ваш REVOKE по-барабану.
В отличии от DENY
4 авг 09, 14:45    [7496009]     Ответить | Цитировать Сообщить модератору
 Re: Откуда у слабого юзера может быть такая сила ?  [new]
Ozerov
Member

Откуда: Москва
Сообщений: 3650
Glory
KOLCHOZ_POSTEVENT
Оп-ля, товарищ Озеров, а ведь это мысль, вдруг его, по ошибке в сетевую группу затащили, а там , уже, права.
THANK-Ю.
Этого, правда, быть не должно, но в жизни бывает всё.

SQL Login вряд ли можно "затащить" в виндусовскую группу. Если конечно у вас SQL Login


Вопрос как он на самом деле логинится. Если на сервере есть логин и пароль, совпадающей с логином и паролем, под которым пользователь логинится на свою рабочую станцию, под виндос авторизации может получить доступ к сиквилу, если этот логин входит в группу администраторс.
4 авг 09, 14:49    [7496038]     Ответить | Цитировать Сообщить модератору
 Re: Откуда у слабого юзера может быть такая сила ?  [new]
KOLCHOZ_POSTEVENT
Guest
Я, GLORY, сделал одну ошибку.
Мне надо было сразу идти сюда, а не плескаться в луже на глазах у коллектива.
А звонок в защиту информации, надо просто забыть, вычеркнуть из трудовой биографии.
Ща, так, вальяжно, позвоню этому начу: ну чо там у тебя, юзеры, шо хотят, то воратят, рули сюда, разберёмся.
Вы моё секретное оружие, ша, никому ни слова.
4 авг 09, 14:55    [7496096]     Ответить | Цитировать Сообщить модератору
 Re: Откуда у слабого юзера может быть такая сила ?  [new]
Ozerov
Member

Откуда: Москва
Сообщений: 3650
Отпишите нам потом, кто такая всечебыло! Всмысле в чем дело, спортивный интерес :)
4 авг 09, 15:17    [7496245]     Ответить | Цитировать Сообщить модератору
 Re: Откуда у слабого юзера может быть такая сила ?  [new]
Crimean
Member

Откуда:
Сообщений: 13148
было. юзер в базе в безобидной прикладной группе. а эта группа - в другой группе, в овнерах базы. такое приползает с какого-то перепугу с 2000 при переносе баз периодически. конфуз получается по первой знатнейший, потому как быстро это не находится
4 авг 09, 15:35    [7496391]     Ответить | Цитировать Сообщить модератору
 Re: Откуда у слабого юзера может быть такая сила ?  [new]
Козьма Прутков
Member

Откуда: Москва
Сообщений: 186
Раз сервер 2005, то запросто может оказаться, что на схему даны нужные права:
grant select ON SCHEMA::dbo to public
И что там ни создавай в этой схеме, на все право select будет.

------------
Чем сложнее решение задачи, тем больше вероятность, что оно неправильное
4 авг 09, 15:37    [7496409]     Ответить | Цитировать Сообщить модератору
 Re: Откуда у слабого юзера может быть такая сила ?  [new]
KOLCHOZ_POSTEVENT
Guest
И вот тут-то , товарищ Озеров, до меня дошло то, что вы хотели сказать, как до жирафа.
Но по нашему домену, этот юзер не проходит, вообще.
А к другим доменам , которые ходят на сервер, доступ, кхе-кхе, затруднённ.
Завтра придёт BIG BOSS из защиты, будем думать. Eго такая вольница порадует.
Пока, что есть защита-уже что-то.
4 авг 09, 15:46    [7496480]     Ответить | Цитировать Сообщить модератору
 Re: Откуда у слабого юзера может быть такая сила ?  [new]
KOLCHOZ_POSTEVENT
Guest
Козьма Прутков, вы чо, раньше не могли это сказать?
На всю схему, я,лично, грантов не давал(боссиха, впрочем могла, но с неё не спросишь, надо беречь нервы, здоровье и рабочее место), а вот на отдельно взятые объекты, паблику, запросто.Интересно, может ли быть такое, что REVOKE не пробился к отдельному юзеру через роль PUBLIC?
Вряд ли, а?
Хотя,по жизни, гранты-это моё, здесь на кого-то валить сложно.
Хотя, в жизни, бывает всё.
4 авг 09, 15:59    [7496556]     Ответить | Цитировать Сообщить модератору
 Re: Откуда у слабого юзера может быть такая сила ?  [new]
Maxx
Member [скрыт]

Откуда:
Сообщений: 24290
вообщем мне удалось впихнуть в виндовую группу скл юзера смотрите на своего Васю, думаю ето результат такого же теста :))
-------------------------------------
Jedem Das Seine
4 авг 09, 16:07    [7496615]     Ответить | Цитировать Сообщить модератору
 Re: Откуда у слабого юзера может быть такая сила ?  [new]
Crimean
Member

Откуда:
Сообщений: 13148
> может ли быть такое, что REVOKE не пробился к отдельному юзеру

REVOKE, как нам мудро указал тов.Glory, служит для отмены выданного права. если выдачи не было - не поможет REVOKE. для явного запрета служит DENY, как, опять же, учит мудрый BOL и напоминает тов.Glory
4 авг 09, 16:07    [7496617]     Ответить | Цитировать Сообщить модератору
 Re: Откуда у слабого юзера может быть такая сила ?  [new]
KOLCHOZ_POSTEVENT
Guest
Господин Crimean, ваше мнение надо проверить.
Несколько напряжно по времени-есть, что делать , кроме этого.
Чисто теоретически, вряд-ли членство, извините за выражение, в public может остановить REVOKE.
Ну что, прикажете, при создании каждого нового объекта, гонятся за каждым юзером?
Конечно, можно, сгенерировать скрипт, но вряд ли наш производитель, опять-же, извините за выражение, Mайкрософт, вправе требовать такого героизма от покупателей.
4 авг 09, 16:26    [7496775]     Ответить | Цитировать Сообщить модератору
Топик располагается на нескольких страницах: [1] 2   вперед  Ctrl      все
Все форумы / Microsoft SQL Server Ответить