Запуск сервера от ограниченной учетной записи
Модераторы: kdv, Alexey Kovyazin
Запуск сервера от ограниченной учетной записи
Сделал так чтобы сервер запускался от своей, ограниченной учетной записи, которой доступны только каталог сервера и каталог БД. При этом стал недоступен Firebird server control в Панели управления. Может есть какие-то ньюансы для запуска сервера от своей учетной записи?
-
- Заслуженный разработчик
- Сообщения: 1436
- Зарегистрирован: 15 сен 2005, 09:05
Re: Запуск сервера от ограниченной учетной записи
а зачем, собстно? чем не нравился запуск от системной учетки?Quasar писал(а):Сделал так чтобы сервер запускался от своей, ограниченной учетной записи,
Нет проблем. Просто хотел уяснить: должно ли так быть на самом деле или я что-то криво сделал.если залез в панель управления, почему бы не залезть в администрирование, сервисы?
Того требуют соображения безопасности, чтоб, например, никто не смог навредить, запустив подложную UDF.а зачем, собстно? чем не нравился запуск от системной учетки?
антыресно, как ее тебе подложат, если доступ к каталогу с UDF только для локальных пользователей?Quasar писал(а): Того требуют соображения безопасности, чтоб, например, никто не смог навредить, запустив подложную UDF.
ежели, канешна ты ее не расшарил
и как ее запустят, не зная имя пользователя для БД и пароля?
А на всякий случай, лишний рубеж на пути злоумышленников не помешает. Зачем давать серверу лишние, не нужные ему привелегии.stix-s писал(а): антыресно, как ее тебе подложат, если доступ к каталогу с UDF только для локальных пользователей?
ежели, канешна ты ее не расшарил
и как ее запустят, не зная имя пользователя для БД и пароля?
есть старый пример, который на нынешних серверах при правильном администрировании невозможен:Есть у тебя реальный пример по подмене и выполнению каверзной UDF?
1. злоумышленник узнает каталог установки IB/FB
2. создает external table с именем somename.dll в каталоге udf
3. заливает в external table код dll
4. декларирует udf на базе залитой dll
5. вызывает "вражескую" udf.
это было возможно на версиях, когда не было запрета на расположение external tables, и еще хуже когда не было явного указания размещения udf.
сейчас закинуть udf на сервер таким образом нельзя.
но согласись, для для выполнения данной операции необходимо получить доступ к каталогу FB либо локально, либо удаленно, но это уже правильное администрирование Win или nix для исключения подобного.kdv писал(а): есть старый пример, .......
и даже если все это удалось, то как в данном случае поможет запуск сервера FB от ограниченной учетки?
-
- Заслуженный разработчик
- Сообщения: 644
- Зарегистрирован: 15 фев 2005, 11:34
Вражья УДФ может возникнуть и не по особо злому умыслу, а может просто от кривизны рук программера, если админ и программер это 2(а может и больше) разных человека, то совсем не лишне запускать ФБ от собственной учетной записи, что под линуксом сделано по-умолчанию давным-давно и ни у кого уже вопросов по этому поводу не возникает. Даже более того сервисы предоставляемые наружу сажаются в ченжрут песочницу ака апач или бинд. Вобчем коллега stix-s, я вас тут непонимаю.stix-s писал(а):Есть у тебя реальный пример по подмене и выполнению каверзной UDF?Quasar писал(а): А на всякий случай, лишний рубеж на пути злоумышленников не помешает. Зачем давать серверу лишние, не нужные ему привелегии.
А то я что-то сам придумать не могу
Возможно это я чего-то не понимаю.Ivan_Pisarevsky писал(а): Вобчем коллега stix-s, я вас тут непонимаю.
итак, сервис сервера запущен от ограниченной учетки, запущена "вражеская" UDF соответственно с правами того пользователя, что и у сервиса - чем это спасет данные в базе от "искореживания"? ежели права доступа к БД определяются внутренними пользователями ФБ/ИБ.
Если имеется в виду, что UDF помимо работы с БД еще что-то творит с ФС (файлы трет или еще как-либо гадит) тогда понятно.
Не соглашаюсь. Доступ нужен только к FB.stix-s писал(а):но согласись, для для выполнения данной операции необходимо получить доступ к каталогу FB либо локально, либо удаленно
UDF - это, в принципе, любая программа. И делать она на сервере может что угодно, конечно, в рамках прав доступа пользователя, от имени которого запущен FB.
зачем? в описанном мной примере никакой доступ к каталогу не нужен, все делает сервер под своим эккаунтом.для для выполнения данной операции необходимо получить доступ к каталогу FB либо локально, либо удаленно,
я и говорю, что никак не поможет. спец. учетная запись спасает от как раз доступа к каталогу МИМО сервера.то как в данном случае поможет запуск сервера FB от ограниченной учетки?
на всякий случай напомню, что во всех свежих серверах есть external_file_directory который надо конфигурить, а в FB 1.5/2.0 доступ к внешним таблицам вообще запрещен по умолчанию. То есть, описанная мной ситуация на нынешних версиях серверов возможна только если админ даст полный доступ по внешним таблицам в конфиге сервера.
kdv писал(а): зачем? в описанном мной примере никакой доступ к каталогу не нужен, все делает сервер под своим эккаунтом.
Да, я понял идею, но до подобного изврата сам вряд ли додумался бы.WildSery писал(а): Не соглашаюсь. Доступ нужен только к FB.
Чем больше знаешь, тем лучше понимаешь, что нифига не знаешь