Запретить пользователю SYSDBA доступ к базе Firebird
- Автор темы de3m0n
- Дата начала
-
- Теги
- firebird sysdba безопасность
+1 - Все защиты от сисадмина - величайшая глупость. Если он имеет прямой доступ к файлам БД - не защитишьсяНе забывайте про возможность утащить файл базы на другую машину и там свободно его смотреть через локальный сервер под SYSDBA.
ни чем.
В свое время похожая задача решилась под Виндой относительно просто - ввели длинный пароль для SYSDBA, шифранули от его имени каталоги с БД и с БД паролей FB (где FB установлен), запустили сервис FB от имени SYSDBA. Админ сервера пароль не знает, может только его сбросить. Но шифрованная БД при этом сдохнет. Прибить установку FB тоже не получится, как и перенести БД на другой комп.
На сколько я знаю, это не поможет. Юзер делает backup и потом делает restore со своей паролью, после чего он может подключаться к БД с SYSDBA и этой паролью.Попросить кого нить придумать и ввести два раза очень сложный пароль для SYSDBA
а потом его в Москву реку.
По крайней мере в моём случае дело в том, что некоторые конкуренты тоже пользуються Firebird. Таким образом они могут заглядывать в мою ДБ и видеть что я там делаю и как. Это их не касается.А откуда такая задача вообще? Почти во всех СУБД есть системный пользователь, который нужен для системных операций. Или заказчику бекап-рестор никогда не понадобится? Достаточно чтобы не было физического доступа к серверу. Остальное сам FB сделает.
Дополнительно к этому некоторые клиенты тоже интересуются этим и начинают химичеть, хотя это и их не касается.
Поэтому я тоже интересуюсь возможностями предотвращения доступа к ДБ, если не известна пароль.
Интересно было-бы узнать подробности об этих двух коментарах:
В версии 25 сделали редирект админских полномочий так что SYSDBA можно истребить как класс.
Я шифрую пароль и его может расшифровать только клиент, а больше про него никто не знает )
В версии 2.5 у SYSDBA можно отнять права.
...Или о других возможностях.