权限控制策略 提高数据库服务器安全
来源:asp之家 发布时间:2009-06-13 09:20:00
作为企业的信息化安全人员,其主要任务就是如何在保障服务器性能的前提下提高服务器的安全性。而要做到这一点,服务器的访问权限控制策略无疑是其中的一个重要环节。假如某企业新进一台数据库服务器,为他设计一些权限控制手段。这些方法虽然不能够百分之百的保证数据库服务器的安全性,但是,这些仍然是数据库服务器安全策略中必不可少的因素。对提高数据库服务器的安全性有着不可磨灭的作用。这些控制策略,不但对数据库服务器有效;对其他的应用服务器仍然具有参考价值。
一、给用户授予其所需要的最小权限
不要给数据库用户提供比其需要的还要多的权限。换句话说,只给用户真正需要的、为高效和简洁地完成工作所需要的权限。这个道理很容易理解。这就好像防止职业贪污一样。你若只给某个员工其完成工作所必需的费用,一分都不多给,那其从哪里贪污呢?
如从数据库服务器的角度来考虑这个问题,这就要求数据库管理员在设置用户访问权限的时候,注意如下几个方面的问题。
1.是要限制数据库管理员用户的数量。在任何一个服务器中,管理员具有最高的权限。为了让数据库维持正常的运转,必须给数据库配置管理员账户。否则的话,当数据库出现故障的时候,就没有合适的用户对其进行维护了。但是,这个管理员账户的数量要严格进行限制。不能为了贪图方便,把各个用户都设置成为管理员。如笔者企业,在一台数据库服务器中运行着两个实例,但是,只有一个数据库管理员负责数据库的日常维护。所以,就只有一个管理员账户。
2.是选择合适的账户连接到数据库。一般数据库的访问权限可以通过两种方式进行控制。一是通过前台应用程序。也就是说,其连接到数据库是一个统一的账户,如管理员账户;但是,在前台应用程序中设置了一些关卡,来控制用户的访问权限。这种方式虽然可以减少前台程序开发的工作量,但是,对于数据库服务器的安全是不利的。二是在前台程序中,就直接利用员工账户的账号登陆到数据库系统。这种做法虽然可以提高数据库的安全性,但是,其前台配置的工作量会比较繁琐。而笔者往往采用折中的方法。在数据库中有两类账户,一类是管理员账户,只有前台系统管理员才可以利用这类账户登陆到数据库系统。另外一类是普通账户,其虽然可以访问数据库中的所有非系统对象,但是,他们不能够对数据库系统的运行参数进行修改。然后具体数据对象的访问,则通过前台应用程序控制。如此,前台应用程序普通员工只需要通过同一个账户连接到数据库系统。而系统管理员若需要进行系统维护,如数据库系统备份与还原,则可以通过数据库管理员账户连接到数据库系统。则即方便了前台应用程序的配置效率,又提高了数据库服务器的安全性。总之,我们的目的就是要限制以数据库管理员身份连接到数据库的用户数量。
在其他应用服务器中,也有管理员账户与普通账户之分。在权限分配的时候,也最好只给用户授予其需要的最小权限,以保障数据库服务器的安全。
猜你喜欢
- 据国外媒体报道,美国Google公司最近开始测试新风格的AdSense广告,甚至有可能在广告周围强制增加一个黑色边框。早在2007年底,Go
- #LimitthemaximumnumberofanonymousloginsMaxClients10#We!;want'
- WebRTC,即Web Real-Time Communication,web实时通信技术。简单地说就是在web浏览器里面引入实时通信,包括
- 昨天登陆我的Google AdSense帐户发现,西联快汇已经支付,支付日期是10月30日,那么今天, 11.2日大家就可以到相
- Spring Boot项目使用docker容器, jar和war的分层打包。Spring Boot 现在支持分层打包技术了, 我们也来用一用
- 前言在安装了虚拟机之后,当我们想将文件从主机拷到虚拟机当中时,因为不能直接将文件从主机拖到虚拟机中,所以只能借助U盘,但是频繁的插拔U盘非常
- 个人认为作为一个站长,做任何的事情,任何的网站都应该有一个发展的规划。网站上线,不能代表什么。就像是小孩子刚刚诞生,那么我们要给他成长的环境
- 北京时间10月24日消息,据国外媒体报道,Facebook首页正在进行新一轮改版,以期用户寻找信息时能更便捷。改变之一是,在首页呈现其认为过
- 目前很多用户已经宽带接入了Internet。包月的的宽带提供的带宽,已经足以使你的计算机成为互联网上的一台服务器。下面我就以易于在个人计算机
- 修改用户短信提示音:UPDATE `cdb_members` SET `pmsound` =&nbs
- 一、硬盘分区与操作系统的安装硬盘分区 总的来讲在硬盘分区上面没什么值得深入剖析的地方,无非就是一个在分区前做好规划知道要去放些什么东西, 如
- 01、明确内容如果你想成为一个网站设计者,并正想建一个网站的话,首先应该考虑网站的内容,包括网站功能和你的用户需要什么。你的整个设计都应该围
- 老谢研究网站推广很多年了,SEO是个很不错的推广。站长们研究SEO兴趣也很高,这很好,因为SEO可以直接的为你网站带来流量。但是老谢认为我们
- .htaccess 是什么?htaccess (hypertext access,超文本访问) 是为网站所有者提供用于控制服务器环境变量以及
- 在搜索引擎优化的过程中,我们是以关键词为中心来展开工作的,所以,关键词是搜索引擎优化的核心。我们知道,适当的关键字,能带来更多的流量。遗憾的
- Linux如何使用if判断目录是否存在方法如下:1、脚本中使用if判断目录是否存在的方法#! /bin/bashif [ -d "
- 显示诚意:把域名续费5年以上:域名有效期越长,越表明你重视这个网站,被google判为投机作弊的几率也越小,这个是我
- #cccccc 1px dotted; TABLE-LAYOUT: fixed; BORDER-TOP: #cccccc 1px dotte
- ubuntu 下VirtualBox 实现共享设置: &n
- 为了解决日益严重的手机安全问题,全球领先的手机安全服务公司网秦发布了手机卫士服务。手机卫士是一组永久免费的手机安全和管理工具族,流氓克星是手