数据库服务器安全的权限控制策略
时间:2023-03-17 05:32:30 点击:220
任何服务器,安全与性能是两个永恒的主题。作为企业的信息化安全人员,其主要任务就是如何在保障服务器性能的前提下提高服务器的安全性。而要做到这一点,服务器的访问权限控制策略无疑是其中的一个重要环节。笔者企业最近上了一台新的数据库服务器,我为他设计了一些权限控制手段。这些方法虽然不能够百分之百的保证数据库服务器的安全性,但是,这些仍然是数据库服务器安全策略中必不可少的因素。他对提高数据库服务器的安全性有着不可磨灭的作用。

  其实,这些控制策略,不但对数据库服务器有效;对其他的应用服务器仍然具有参考价值。

  一、给用户授予其所需要的最小权限

  不要给数据库用户提供比其需要的还要多的权限。换句话说,只给用户真正需要的、为高效和简洁地完成工作所需要的权限。这个道理很容易理解。这就好像防止职业贪污一样。你若只给某个员工其完成工作所必需的费用,一分都不多给,那其从哪里贪污呢?

  如从数据库服务器的角度来考虑这个问题,这就要求数据库管理员在设置用户访问权限的时候,注意如下几个方面的问题。

  一是要限制数据库管理员用户的数量。在任何一个服务器中,管理员具有最高的权限。为了让数据库维持正常的运转,必须给数据库配置管理员账户。否则的话,当数据库出现故障的时候,就没有合适的用户对其进行维护了。但是,这个管理员账户的数量要严格进行限制。不能为了贪图方便,把各个用户都设置成为管理员。如笔者企业,在一台数据库服务器中运行着两个实例,但是,只有一个数据库管理员负责数据库的日常维护。所以,就只有一个管理员账户。

  二是选择合适的账户连接到数据库。一般数据库的访问权限可以通过两种方式进行控制。一是通过前台应用程序。也就是说,其连接到数据库是一个统一的账户,如管理员账户;但是,在前台应用程序中设置了一些关卡,来控制用户的访问权限。这种方式虽然可以减少前台程序开发的工作量,但是,对于数据库服务器的安全是不利的。二是在前台程序中,就直接利用员工账户的账号登陆到数据库系统。这种做法虽然可以提高数据库的安全性,但是,其前台配置的工作量会比较繁琐。而笔者往往采用折中的方法。在数据库中有两类账户,一类是管理员账户,只有前台系统管理员才可以利用这类账户登陆到数据库系统。另外一类是普通账户,其虽然可以访问数据库中的所有非系统对象,但是,他们不能够对数据库系统的运行参数进行修改。然后具体数据对象的访问,则通过前台应用程序控制。如此,前台应用程序普通员工只需要通过同一个账户连接到数据库系统。而系统管理员若需要进行系统维护,如数据库系统备份与还原,则可以通过数据库管理员账户连接到数据库系统。则即方便了前台应用程序的配置效率,又提高了数据库服务器的安全性。总之,我们的目的就是要限制以数据库管理员身份连接到数据库的用户数量。

  在其他应用服务器中,也有管理员账户与普通账户之分。在权限分配的时候,也最好只给用户授予其需要的最小权限,以保障数据库服务器的安全。

  二、取消默认账户不需要的权限

  在建立账户的时候,服务器往往给给其一些默认的权限。如在数据库中,Public是授予每个用户的默认角色。任何用户,只要没有指定具体的角色,则其都可以授予Public组的权限。这其中,还包括执行各种SQL语句的权限。如此,用户就有可能利用这个管理漏洞,去访问那些不允许他们直接访问的包。因为这个默认权限,对于那些需要他们并且需要合适配置和使用他们的应用来说,是非常有用的,所以,系统默认情况下,并没有禁止。但是,这些包可能不适合与其他应用。故,除非绝对的需要,否则就应该从默认缺陷中删除。

  也就是说,通常某个账户的默认权限,其是比较大的。如对于数据库来说,其账户的默认权限就是可以访问所有的非系统对象表。数据库设计的时候,主要是为了考虑新建用户的方便。而且,新建用户的时候,数据库确实也无法识别这个用户到底能够访问哪些用户对象。但是,对于企业应用系统来说,若给每个员工都默认具有这么大的访问权限,那则是很不安全的。

  笔者的做法是,会把应用系统的默认用户权限设置为最小,有些甚至把默认用户权限全部取消掉。这就迫使服务器管理员在建立账户的时候,给账户指定管理员预先设定的角色。这就可以有效的防止管理员“偷懒“。在建立账户的时候,不指定角色。

  三、正确的鉴别客户端

  正确的鉴别客户端的合法性,这是提高应用服务器安全性的一个不二法则。有时候,为了服务器安全性考虑,必须要求对客户端的合法性进行鉴别。对此,我们可以通过如下措施来管理客户端。

  一是对于具有管理员账户的角色进行远程鉴别。虽然从理论上说,可以对任何一台客户端都采取远程鉴别,如通过主机名或者IP地址进行合法性鉴别。但是,这么做的话,往往太过于小题大做,会增加管理上的烦恼。或者说,投入与回报不成正比。所以,在实际配置中,笔者不会对每一台客户端都进行合法性验证。而只对于利用管理员账户登陆服务器的客户端才进行合法性验证。如可以在数据库服务器上进行设置,只有哪几个IP地址才可以通过管理员角色连接到数据库系统中。通过对客户端身份的合法鉴别,就可以再进一步提高数据库服务器管理员角色账户的安全性。即使管理员账户与口令被窃取,有客户端身份验证这一功能,也不怕他们进行非法攻击。

  二是不要太过于相应客户端的自我保护功能。如在某个品牌的数据库系统中,有一种远程鉴别功能。他会处理连接到数据库的远程客户的用户鉴别问题。数据库绝对信任任何客户都已经进行了正确的鉴别。但是,我们都知道,在任何情况下,我们不能够相信客户端会正确地执行操作系统鉴别。故,往往这个安全特性只是作为摆设。对于数据库服务器来说,一个比较安全的做法是,不采用这种远程鉴别功能,而是在服务器上对客户端进行统一的鉴别。如在服务器上,通过身份认证功能来确保连接到服务器上的客户端的合法性与真实性。

  四、数据库系统最好不要穿透防火墙

  如果把数据库服务器放置在防火墙的后面,则最好在任何情况下,都不要穿透该防火墙。否则的话,会让数据库系统失去防火墙的保护,从而把数据库暴露在互联网下,成为众多黑客茶余饭后“调戏“、“攻击“的对象。

  例如,不要打开数据库的1521端口来与互联网进行连接。如果用户执意要这么做的话,则会引起很多重要的安全弱点。因为攻击者可以凭借这个弱点,打开更多的穿透防火墙的端口、多线程操作系统服务器的问题,以及泄漏防火墙后面应用服务器中的重要信息。再者,这个弱点还有可能被用来探测数据库服务器的关键细节,如利用窃听监听器来获得关键信息。因为监听器会监听该数据库的运行轨迹、登陆信息、标识信息、数据库描述服务以及服务名等等。

  所以,执意把放在企业防火墙背后的应用服务器中的某个关键端口,设置成为穿透防火墙的端口是一种很不好的安全习惯。虽然其可以带来管理上的方便,但是,出于安全考虑,笔者还是不建议管理员进行如此的配置。

  针对数据库应用服务器的访问与连接的权限控制,还有许多。以上四个方面,是大家在数据库服务器部署的时候,容易忽视的几个地方。希望这篇文章,能够给大家一些提醒。
展开 ↓
标签: sql数据库错误2(sql数据库错误926) ubisoft服务不可用怎么办(ubisoft服务目前不可用怎么办) 《原神》可莉属性数据介绍图(元神可莉技能介绍) dayz服务器参数设置(dayz服务器配置) csgo安全处所收藏品怎么得(csgo安全处所收藏品有什么) 《怪物猎人:世界》ps4联机网络设置指南(怪物猎人世界ps4连不上服务器) 《阴阳师》兵俑控制流阵容推荐(阴阳师兵俑输出) 《崩坏星穹铁道》三重权限任务怎么做的(崩坏3星穹铁道) 2077云顶怎么搞服务(2077云顶怎么进去) 暗黑破坏神2与游戏服务器交换数据(暗黑破坏神2与游戏服务器交换数据时发生一项错误) 《荒野大镖客2》online版好看捏脸数据分享(荒野大镖客2捏脸最新数据) 《明日之后》控制大楼副本攻略大全(明日之后控制大楼怎么打) 《阴阳师》雨女地藏控制流阵容推荐(《阴阳师》雨女地藏控制流阵容推荐) 《原神》芭芭拉属性数据是什么样的(原神芭芭拉是几星角色) sd高达g世纪火线纵横金色零件(sd高达g世纪火线纵横各项数据作用) 《实况足球》精选球员是否保留球员数据(实况足球精选球员只能用一个赛季) 《辐射4》控制台(辐射4控制台代码) dayz服务器指令(dayz服务器名称含义) fifa21梅西能力(fifa21梅西脸数据) apex英雄服务器大全(apex服务器水平排行) ns暗黑三赛季连不上服务器(ns暗黑3连不上服务器) 《原神》北斗属性数据是什么(原神北斗靠什么输出) cod战区安全模式怎么关(使命召唤安全区域设置) 《阴阳师》雨女地藏控制流阵容推荐(雨女地鬼阵容) dayz好玩的服务器(dayz什么服务器好玩) 《荒野大镖客2》阿尔登马数据在哪看(荒野大镖客2阿尔登马在哪里) 《海底大猎杀》全boss数据一览(《海底大猎杀》全boss数据一览下载) 《原神》五郎属性数据是什么样的(元神五郎) apex怎么显示延迟丢包数据(apex延迟不高但是丢包) nba2k19怎么调出实时数据(nba2k19怎么设置观众数量) 《一拳超人正义执行》控制角色大全攻略(一拳超人正义执行先锋测试) csgo控制是啥意思(csgo控制是什么意思) 《明日方舟》实名游戏账号可以找回吗安全吗(明日方舟实名认证可以找回密码吗) 《控制》自我镜像任务攻略图(控制自我镜像任务) 把下控制的训练目的(把下控制组合教学目标) 《原神》甘雨属性数据最新(《原神》甘雨属性数据最新版) dayz怎么看服务器名字(dayz服务器列表) 《穿越火线》控制设置怎么设置(《穿越火线》控制设置怎么设置不了) 《十字军之王3》控制台开启方法介绍图(十字军之王3控制台代码游民星空) csgo服务器指令大全(csgo服务器指令大全代码) 暗黑地牢修改mod人物数据(暗黑地牢修改mod人物数据在哪) apex英雄弹道(apex英雄弹道数据) fifa19角球怎么控制落点(fifa2020角球技巧) 《实况足球》精选球员阿扎尔数据一览(实况足球手游阿扎尔怎么样) cod16不小心进入安全模式(cod16怎么取消从安全模式进) 《使命召唤18:先锋》g43僵尸模式数据在哪(使命召唤18先锋单人剧情) pubgm416伤害(吃鸡m4伤害数据) lol手游服务器崩了(lol手游服务器崩了怎么回事) 《辐射4》控制台代码(辐射4控制台代码混凝土) 2077猎杀谷仓安保(2077猎杀安保控制系统) 《江湖十一》捏脸数据大全(江湖1cut3) apex连接ea服务器失败(apex链接不到ea服务器) nba2k19艾弗森建模数据(nba2k21mc艾弗森建模) ubisoft服务器目前不可用怎么解决(ubi服务目前无法使用) apex锁区后怎么换服务器(apex英雄锁区怎样玩) nba2k21乔丹捏脸数据教程(nba2k20乔丹捏脸数据教程) lol控制召唤物(lol游戏内设置召唤师技能) 《江苏政务服务》个人档案怎么查询(江苏政务服务如何查个人档案) control散射射弹强化(控制散射投掷射弹) 《原神》诺艾尔属性数据是什么(原神诺艾尔属性选择) valheim英灵神殿怎么设置中文(valheim英灵神殿控制台打不开) 《使命召唤18:先锋》游戏策略玩法介绍(使命召唤18:先锋) 2077尽忠丸权限不足(2077尽忠丸在哪) epic荒野大镖客2无法启动游戏,请验证您的游戏数据(荒野大镖客2无法进入游戏,请验证) 《控制》dlc游玩方法是什么(控制dlc有什么内容) 《控制》切换视角方法有哪些(《控制》怎么切换过肩视角) 《使命召唤18:先锋》百式僵尸模式数据怎么看(使命召唤18有没有僵尸模式) nba2k20连不上服务器怎么办(nba2k20连不上服务器怎么办pc) 《海底大猎杀》全boss数据一览图(《海底大猎杀》全boss数据一览图片) 《原神》丽莎天赋技能是什么(原神丽莎技能数据) lol马来西亚服在国内玩延迟高吗(lol马来西亚服在国内玩延迟高吗安全吗) 《地铁跑酷》数据迁移方法(地铁跑酷数据备份) 《无主之地3》载具操作设置方法是什么(无主之地3载具怎么用键盘控制方向) 《原神》钟离属性数据最新(原神钟离详细属性) csgo数据交换器是干嘛用的(csgo数据交换器是干嘛用的啊) 暗黑地牢修改mod人物数据(暗黑地牢mod角色修改) steam控制器设置打不开(steam控制器选项在哪) sd高达g世纪火线纵横命运高达怎么开发(sd高达g世纪火线纵横各项数据作用) epic控制有中文吗(epiccontrol有中文吗) 安全运输法则恶心(安全运输规定定义) 《控制》战斗盲射方法是什么(控制战斗游戏) 《原神》钟离属性数据最新(元神钟离属性) 2k21乔丹捏脸数据(nba2k乔丹捏脸) win10绯红结系无法读取系统数据(绯红结系无法连接系统) 《饥荒联机版》维京战盔详细数据怎么看(饥荒维京女怎么解锁) 《足球经理》分析与统计系统解析pdf(足球经理数据) apex连接ea服务器失败(apex连不到ea服务器) fifa20射门方向怎么控制(fifa20射门怎么踢弧线) 暗区突围保险箱怎么获得(暗区突围安全箱cdk) 《十字军之王3》控制台开启方法解析图(十字军之王3控制台介绍) 暗影之月是谁的技能(暗影之月服务器怎么样) apex连接服务器超时怎么办(apex连接服务器超时进不去大厅) 《控制》全支线任务攻略(《控制》全支线任务攻略在哪) 2k21加内特捏脸(nba2k20手游加内特捏脸数据) uplay备份存档(uplay存档数据损坏) apex一进游戏就连接服务器超时(apex为什么一直连接服务器超时) nba2k19锁定防守在哪里设置(nba2k19防守策略设置) csgo新版本无线电指令(csgo控制台无线电代码) dayz官方服务器重启需要多久(dayz进官方服务器老是被弹出) 《荒野大镖客2》阿拉伯马数据在哪看(《荒野大镖客2》阿拉伯马数据在哪看啊) csgo怎么关闭下方显示各种数据(csgo怎么关闭下方显示各种数据) steam命运2加速哪个服务器(命运2加速器选哪个服) dayz官服建基地有意义吗(dayz建服务器要钱吗) 百目鬼适合什么御魂(不带任何御魂的百目鬼能附加哪种控制效果?) 《明日方舟》实名认证的账号能找回来吗安全吗(明日方舟实名的号能找回么) 《明日之后》控制大楼副本攻略大全(明日之后控制大楼副本视频) csgo服务器开始游戏指令(csgo服务器指令怎吗打开) 《lol手游》台服和日服数据互通吗安卓(lol手游台服和日服有什么区别) 《控制》自我镜像任务攻略图(控制自我镜像支线二楼的摆珠) 《控制》哈曼打法介绍(《控制》哈曼打法介绍图) 《荒野大镖客2》阿尔登马数据怎么看(荒野大镖客2阿尔登战马怎么样) 《诺亚之心》捏脸数据大全(诺亚之心好玩吗) nba2k20mc乔丹模板(nba2k20mc乔丹建模数据) 《喋血复仇》全武器属性数据大全(喋血复仇两把主武器) 《使命召唤18:先锋》百式僵尸模式数据怎么看(cod18僵尸模式) 《原神》温迪属性数据大全(原神温迪属性) 2k20迈克尔乔丹建模(2k20迈克尔乔丹捏脸数据) steam控制权(steam控制器设置在哪里) gta控制终端(gta5控制器设置方法) 《穿越火线》控制设置怎么设置(cf游戏设置控制) 《控制》dlc游玩方法是什么(《控制》dlc游玩方法是什么) 《控制》战斗方式有哪些(《控制》战斗方式有哪些种类) gta5安全门禁(gta5门禁装置需要买吗) csgo准星变粗控制台口令(csgo调准星粗细的指令) 把下控制组合的训练目的(把下控制组合的要领) 《王者荣耀》限时点券和点券能一起用吗安全吗(王者荣耀限时点券和点券可以混用吗) 《控制》哈曼打法介绍(控制哈曼怎么打) 阿尔宙斯多重属性(阿尔宙斯数据) csgo控制台趣味指令(csgo控制台趣味指令怎么用) nba2k19怎么获得奥尼尔(nba2k19奥尼尔建模数据) 《控制》战斗技巧是什么(控制战士) cod战区安全令(使命召唤战区安全模式是什么意思) 暗黑不朽正式服(暗黑不朽服务器互通) csgo控制器指令大全(csgo控制器代码) dayz服务器怎么选(dayz服务器是什么意思) fifa22c罗(FIFA22C罗数据) 《原神》莫娜属性数据图(《原神》莫娜属性数据图片) 《控制》怎么切换过肩视角(怎么切换控制模式) 《游戏王决斗链接》敌人控制器怎么样打(决斗链接国服敌人控制器) 《荒野大镖客2》阿拉伯马数据怎么看(荒野大镖客2阿拉伯马什么时候可以去找) sd高达g世纪火线纵横维持现状哪里刷(sd高达g世纪火线纵横各项数据作用) 《原神》丽莎属性数据是什么意思(原神丽莎主堆什么属性) csgo控制bot不动(csgo控制台bot不动) epic的控制有云存档吗(epic控制) nba2k19艾弗森建模数据(nba2k19艾弗森捏脸数据) nba2k21加内特捏脸数据(nba2k21mc加内特建模) control调查部支线(控制调查部是dlc) csgo武器数据对比(csgo武器大全) 《荒野大镖客2》阿尔登马数据在哪看(大镖客2阿尔登马分布) boomsgames(boomsgame数据分析) dayz怎么看服务器名字(dayz官服怎么查看服务器有多少人) cod战区数据(cod战区数据查询) valheim英灵神殿控制台代码(valheim英灵神殿刷铁代码) epic正当防卫4进不去游戏(正当防卫4无法连接到epic服务器怎么办) apex全武器数据(apex武器数据2022) 《控制》战斗方式有哪些(控制战术) 《使命召唤18:先锋》g43僵尸模式数据分享在哪(使命召唤18:先锋) 《控制》steam版游戏无法启动解决方法怎么办(steam控制器禁用) 简介UbunturootX系统安全帐号 双河能源服务平台下载 双河能源服务平台 保证安全Vista系统中拒绝陌生U盘使用 改变IT安全历程的十大里程碑盘点 策略 安全知识:巧设瑞星白名单让信任的程序运行更快 安全防忽悠之安全网关趋势分析 linux控制台显示中文 windowsserver安全策略与组策略关系 Windows服务器 Windows服务器安全维护注意八要点 远程控制向Windows2008设置要安全 Linux文件权限的设置技巧 教你取消烦人的windows7安全性提示 无线网络安全 企业无线网络安全问题全解 北京业主服务下载 安全部署企业网络边界路由器 边界路由器的九个安全设置 组策略让Windows2008在低安全下更安全 Windows安全模式杀毒方 Windows安全模式下另类的杀毒方法 Windows服务 安装卸载Windows服务 虚拟桌面安全软件保障远程客户端安全 企业网络安全 企业网络安全事件应急响应方案 测试你的WLAN安全保护WLAN中的数据 redhatenterpriselinux普通用户增加sudo权限 通过路由器基础设置使网络更加安全 暗影火炬城数据磁盘全收集位置-数据磁盘具体位置一览 一招搞定几万种木马→注册表权限设置 配置网络文件系统NFS服务 Linux服务器安全 Linux服务器安全设置关闭无用端口 网络安全知识:独门秘籍阻止网络病毒的自动执行 wgetcurlc查看web服务器信息 小红书带货权限怎么申请-小红书带货权限开通方法 oracle处理损坏数据块 安全维护上最不应该犯的十个基本错误

最新游戏更多

最新软件更多

  • 玩家推荐
  • 游戏攻略

金钼软件下载站 Copyright(C) 2008- 601958.cn All Rights Reserved!

闽ICP备2023004188号| 免责声明