数据库服务器安全的权限控制策略互联网
来源:asp之家 发布时间:2009-09-19 20:10:00
任何服务器,安全与性能是两个永恒的主题。作为企业的信息化安全人员,其主要任务就是如何在保障服务器性能的前提下提高服务器的安全性。而要做到这一点,服务器的访问权限控制策略无疑是其中的一个重要环节。笔者企业最近上了一台新的数据库服务器,我为他设计了一些权限控制手段。这些方法虽然不能够百分之百的保证数据库服务器的安全性,但是,这些仍然是数据库服务器安全策略中必不可少的因素。他对提高数据库服务器的安全性有着不可磨灭的作用。
其实,这些控制策略,不但对数据库服务器有效;对其他的应用服务器仍然具有参考价值。
一、给用户授予其所需要的最小权限
不要给数据库用户提供比其需要的还要多的权限。换句话说,只给用户真正需要的、为高效和简洁地完成工作所需要的权限。这个道理很容易理解。这就好像防止职业贪污一样。你若只给某个员工其完成工作所必需的费用,一分都不多给,那其从哪里贪污呢?
如从数据库服务器的角度来考虑这个问题,这就要求数据库管理员在设置用户访问权限的时候,注意如下几个方面的问题。
1.是要限制数据库管理员用户的数量。在任何一个服务器中,管理员具有最高的权限。为了让数据库维持正常的运转,必须给数据库配置管理员账户。否则的话,当数据库出现故障的时候,就没有合适的用户对其进行维护了。但是,这个管理员账户的数量要严格进行限制。不能为了贪图方便,把各个用户都设置成为管理员。如笔者企业,在一台数据库服务器中运行着两个实例,但是,只有一个数据库管理员负责数据库的日常维护。所以,就只有一个管理员账户。
2.是选择合适的账户连接到数据库。一般数据库的访问权限可以通过两种方式进行控制。一是通过前台应用程序。也就是说,其连接到数据库是一个统一的账户,如管理员账户;但是,在前台应用程序中设置了一些关卡,来控制用户的访问权限。这种方式虽然可以减少前台程序开发的工作量,但是,对于数据库服务器的安全是不利的。二是在前台程序中,就直接利用员工账户的账号登陆到数据库系统。这种做法虽然可以提高数据库的安全性,但是,其前台配置的工作量会比较繁琐。而笔者往往采用折中的方法。在数据库中有两类账户,一类是管理员账户,只有前台系统管理员才可以利用这类账户登陆到数据库系统。另外一类是普通账户,其虽然可以访问数据库中的所有非系统对象,但是,他们不能够对数据库系统的运行参数进行修改。然后具体数据对象的访问,则通过前台应用程序控制。如此,前台应用程序普通员工只需要通过同一个账户连接到数据库系统。而系统管理员若需要进行系统维护,如数据库系统备份与还原,则可以通过数据库管理员账户连接到数据库系统。则即方便了前台应用程序的配置效率,又提高了数据库服务器的安全性。总之,我们的目的就是要限制以数据库管理员身份连接到数据库的用户数量。
在其他应用服务器中,也有管理员账户与普通账户之分。在权限分配的时候,也最好只给用户授予其需要的最小权限,以保障数据库服务器的安全。
二、取消默认账户不需要的权限
在建立账户的时候,服务器往往给给其一些默认的权限。如在数据库中,Public是授予每个用户的默认角色。任何用户,只要没有指定具体的角色,则其都可以授予Public组的权限。这其中,还包括执行各种SQL语句的权限。如此,用户就有可能利用这个管理漏洞,去访问那些不允许他们直接访问的包。因为这个默认权限,对于那些需要他们并且需要合适配置和使用他们的应用来说,是非常有用的,所以,系统默认情况下,并没有禁止。但是,这些包可能不适合与其他应用。故,除非绝对的需要,否则就应该从默认缺陷中删除。
也就是说,通常某个账户的默认权限,其是比较大的。如对于数据库来说,其账户的默认权限就是可以访问所有的非系统对象表。数据库设计的时候,主要是为了考虑新建用户的方便。而且,新建用户的时候,数据库确实也无法识别这个用户到底能够访问哪些用户对象。但是,对于企业应用系统来说,若给每个员工都默认具有这么大的访问权限,那则是很不安全的。
笔者的做法是,会把应用系统的默认用户权限设置为最小,有些甚至把默认用户权限全部取消掉。这就迫使服务器管理员在建立账户的时候,给账户指定管理员预先设定的角色。这就可以有效的防止管理员“偷懒”。在建立账户的时候,不指定角色。
猜你喜欢
- 《商业大亨》的“赢在大亨”挑战赛开启以来,精彩刺激的挑战体验、至高无上的荣誉勋章,以及超级丰厚的奖品
- 1. 首页在哪里?你要确保在博客页面的顶部位置有一个明显的“首页”链接。2. 将你的logo链向你的首页。3. 增加搜索框。增加搜索框可以帮
- .htaccess文件是非常有用的,下面一篇介绍:• Part 1 – Introduct
- 随着Linux企业应用的扩展,有大量的网络服务器使用Linux操作系统。Linux服务器的安全性能受到越来越多的关注,这里根据Linux服务
- 做站半年多了,因为我当时做站的目的就是帮助想创业的人,因此我把我这一段时间的过程和经验同大家分享。2006年我就知道做网站很有前途,但一直到
- 迎接奥运,除了做奥运志愿者、抢购奥运门票、学习“How are you”,我们还可以做什么?据AC尼尔森的预测,2008年,网络广告市场受奥
- 如果你的服务器是2003的,它默认只支持.net,不支持asp所以须进行以下操作:打开iis6.0里面的本地计算机->web服务扩展把
- 在备受业界关注的《互联网视听节目服务规定》 * 以来,“信息网络传播视听节目许可证”(下称“视频牌照”)的颁发就受到了业内的广泛关注。近日,广
- 先来一张登陆界面吧从上次zblog更新至今也有2年多了,一直未见zblog有过更新,虽然去年愚人节的时候发布了一个版本,但那个版本真的只是一
- 由于互联网普及,催生数量惊人的上网用户,如此庞大的网络用户群体,促生了新的经济增长方式,利用网络赚钱,让不少人走上了致富路。同时,还有一些网
- 经历了近年的某些IDC服务商倒闭事件,国内IDC市场在在俯卧撑式的环境下渐趋理性和成熟,市场开始转型,业内专家认为,IDC产业经历了大起大落
- 通常对大型网站的运营指标会有以下几种:外在参考指标:Alexa排名及三个月变化曲线(可以去掉)、Google PR值、搜索引擎收录页面数量、
- Mobile Me是苹果的在线服务,主要由邮箱(@me.com),信息同步,在线磁盘,个人网页,iphone查找,远程控制组成。 Mobil
- 1. FTP协议概述FTP是文件传输协议(File Transfer Protocol )的简称。FTP是TCP/IP的一种具体应用,它工作
- 我是2000年参加工作的,第一年在宁波一所大学当老师,当时工资可能只有2K不到,由于我上大学时也经常给别人兼职打工,平均下来也能赚个每个月2
- 概要 本文分步介绍如何使用 Internet 信息服务 (IIS) 5.0 授予对 Web 内容的 Web 服务器权限。 您可以对服务器
- 有些会员之前就问过我这个问题,Dedecms和PHPWind的整合版退出系统后进入的是空间聚焦频道,有人希望跳转到网站的首页,在这里天涯给出
- SEO一般分成两部分,一个部分是内部优化,第二部分就是外部链接,内部优化更多的是解决收录问题,而直接影响到关键字排名的更多的是链接问题!一个
- 虽然有插件可以自定义表情,但是由于用的线路不是很好,不想装太多插件,所以找了下其他办法。1.进入后台-设置-撰写-格式:“转换如 、 等
- 一个网站建成,做SEO优化是必不可少的步骤,但是如何做SEO才是最有效果的?以下四个流程是必不可少的。一、寻找并确定你的关键词寻找、确定你的