Подскажите, а как ограничить доступ к БД FB???

Как защититься от хаков, спрятать БД и прочие премудрости и настройки

Модератор: kdv

Ответить
Antoxa
Сообщения: 169
Зарегистрирован: 06 июл 2006, 10:53

Подскажите, а как ограничить доступ к БД FB???

Сообщение Antoxa » 13 ноя 2007, 16:30

Как же ограничить дуступ к БД? Т.е. если кто-то получит бд (файл fdb), то он сможет ее открыть на своем ПК, зная SYSDBA и пароль своего сервера, а как защетить БД? Что бы при "воровстве" файла открытие БД было бы невозможным!

kdv
Forum Admin
Сообщения: 6595
Зарегистрирован: 25 окт 2004, 18:07

Сообщение kdv » 13 ноя 2007, 18:27

Как же ограничить дуступ к БД? Т.е. если кто-то получит бд (файл fdb), то он сможет ее открыть на своем ПК, зная SYSDBA и пароль своего сервера, а как защетить БД? Что бы при "воровстве" файла открытие БД было бы невозможным!
надо учить матчасть - где хранятся пароли:
www.ibase.ru/devinfo/sqlroles.htm
www.ibase.ru/devinfo/ib75eua.htm

кроме того можно использовать хак - создать роль SYSDBA в базе, тогда на другом компе к перенесенной базе SYSDBA не подключится. Только сначала лучше owner у базы поменять через b/r. а то и сам не подключишься.

А еще можно сходить на конференцию, где по этим вопросам будут спец. доклады:
www.ibase.ru/conf2007/index.html

dragon_art
Сообщения: 18
Зарегистрирован: 20 сен 2006, 09:18

Сообщение dragon_art » 14 ноя 2007, 08:55

Драсе всем.
Хочу поделиться опытом "как я сломал БД в которой была роль SYSDBA" :)
IBExpert показывает всех owner'ов, юзеров и роли какие есть в БД, а дальше дело техники: Тупо создавал нужных мне юзеров с моими паролями и т.д.

P.S.: Взлом кстати, делался по просьбе самого хозяина, который и предоставил мне сам файл БД.

ИМХО могу только посоветовать: ЗАЩИЩАЙТЕ файл БД средствами операционной системы. Т.к. попади он в руки профессионального взломщика - он его взломает.

kdv
Forum Admin
Сообщения: 6595
Зарегистрирован: 25 окт 2004, 18:07

Сообщение kdv » 14 ноя 2007, 10:12

IBExpert показывает всех owner'ов
где показывает? человек спрашивает про базу, которую унесли не зная ни одного пароля.
я не говорю, что роль SYSDBA нельзя хакнуть - понятно, что это можно в hex-редакторе сделать. Но здесь речь о простой "краже" файла БД с сервера.

Slavik
Сообщения: 115
Зарегистрирован: 17 янв 2007, 11:52

Сообщение Slavik » 14 ноя 2007, 17:17

По-моему, это пустая трата времени. В IB/FB нет встроенных средств шифрования содержимого базы.

К системным таблицам RDB$ по-умолчанию имеет доступ любой пользователь, а не только SYSDBA. Узнать имя владельца базы и создать такого же пользователя с любым паролем - не проблема. Дополнительно защищать ещё и системные таблички... геморрой ещё тот, да ещё и без 100% гарантии, что это сработает в новых версиях IB/FB... :lol:

stix-s
Заслуженный разработчик
Сообщения: 557
Зарегистрирован: 13 дек 2005, 11:52

Сообщение stix-s » 15 ноя 2007, 07:01

Slavik писал(а):К системным таблицам RDB$ по-умолчанию имеет доступ любой пользоваль, а не только SYSDBA. Узнать имя владельца базы и создать такого же пользователя с любым паролем - не проблема. :
Как ты его узнаешь, не имея возможности поключиться к базе?
Попробую-ка я поэкспериментировать
FB 2 ч/з IBExpert не дает добавить эту хитрую роль :( Нечего, грит роль SYSDBA создавать.

Dimitry Sibiryakov
Заслуженный разработчик
Сообщения: 1436
Зарегистрирован: 15 сен 2005, 09:05

Сообщение Dimitry Sibiryakov » 15 ноя 2007, 08:01

stix-s писал(а):Как ты его узнаешь, не имея возможности поключиться к базе?
Двоичным редактором. Он же прописан везде в системных таблицах как владелец/создатель.

stix-s
Заслуженный разработчик
Сообщения: 557
Зарегистрирован: 13 дек 2005, 11:52

Сообщение stix-s » 15 ноя 2007, 10:02

Dimitry Sibiryakov писал(а):
stix-s писал(а):Как ты его узнаешь, не имея возможности поключиться к базе?
Двоичным редактором. Он же прописан везде в системных таблицах как владелец/создатель.
надо будет глянуть

kdv
Forum Admin
Сообщения: 6595
Зарегистрирован: 25 окт 2004, 18:07

Сообщение kdv » 15 ноя 2007, 10:29

IBExpert не дает добавить эту хитрую роль Sad Нечего, грит роль SYSDBA создавать.
о боги! create role отменили??? До чего доводят людей "автоматизаторы"...

Slavik
Сообщения: 115
Зарегистрирован: 17 янв 2007, 11:52

Сообщение Slavik » 15 ноя 2007, 12:24

stix-s писал(а):Как ты его узнаешь, не имея возможности поключиться к базе?
Открою "тайну" для тех, кто незнает или забыл. В FB к ЛЮБОЙ БАЗЕ можно подключиться ЛЮБЫМ ПОЛЬЗОВАТЕЛЕМ.

Merlin
Динозавр IB/FB
Сообщения: 1502
Зарегистрирован: 27 окт 2004, 11:44

Сообщение Merlin » 15 ноя 2007, 12:44

kdv писал(а):
IBExpert не дает добавить эту хитрую роль Sad Нечего, грит роль SYSDBA создавать.
о боги! create role отменили??? До чего доводят людей "автоматизаторы"...
Нее... Это форумы доводят. Думать человеки разучаюццо, делают що велено. Сначала базу и всё в ей такое от сысдба создают, потом его же ролью пытаются заблокировать.

stix-s
Заслуженный разработчик
Сообщения: 557
Зарегистрирован: 13 дек 2005, 11:52

Сообщение stix-s » 15 ноя 2007, 13:53

Slavik писал(а): Открою "тайну" для тех, кто незнает или забыл. В FB к ЛЮБОЙ БАЗЕ можно подключиться ЛЮБЫМ ПОЛЬЗОВАТЕЛЕМ.
Каюсь, забыл :(
Нее... Это форумы доводят. Думать человеки разучаюццо, делают що велено. Сначала базу и всё в ей такое от сысдба создают, потом его же ролью пытаются заблокировать.
Дык попробовать-то мона :) а вдруг в статье очепятка :)

Ответить