คำถามติดแท็ก security

เรามีการตั้งค่าต่อไปนี้: ฐานข้อมูลการผลิตหลายรายการที่มีข้อมูลส่วนตัวซึ่งใช้โดยซอฟต์แวร์เดสก์ท็อป ฐานข้อมูลเว็บสำหรับเว็บไซต์สาธารณะที่ต้องการข้อมูลบางส่วนจากฐานข้อมูลส่วนตัว ฐานข้อมูลกลางที่มีมุมมองไม่กี่และขั้นตอนการจัดเก็บที่ดึงข้อมูลจากฐานข้อมูลส่วนตัว ขณะนี้เว็บไซต์ล็อกอินเข้าสู่ฐานข้อมูลเว็บและฐานข้อมูลเว็บเชื่อมต่อกับฐานข้อมูลตัวกลางเพื่อดึงข้อมูลหรือดำเนินการขั้นตอนการจัดเก็บในฐานข้อมูลการผลิต ฐานข้อมูลทั้งหมดอยู่ในอินสแตนซ์ SQL เดียวกันและกระบวนการทั้งหมดใช้บัญชีผู้ใช้เดียวกัน บัญชีผู้ใช้มีการเข้าถึงแบบเต็มไปยังฐานข้อมูลบนเว็บและฐานข้อมูลตัวกลาง แต่สามารถเข้าถึงมุมมองเฉพาะและขั้นตอนการจัดเก็บของฐานข้อมูลส่วนตัวและเฉพาะ นี่ปลอดภัยกว่าการทำให้ฐานข้อมูลสาธารณะเชื่อมต่อโดยตรงกับฐานข้อมูลส่วนตัวหรือไม่? ดูเหมือนว่าฐานข้อมูลตัวกลางจะมีเพียงสิ่งที่ซับซ้อนเนื่องจากการเข้าสู่ระบบเดียวกันจะใช้ในการเข้าถึงข้อมูลในฐานข้อมูลทั้งหมดและถูก จำกัด ไว้เพียงแค่มุมมอง / SP ที่ต้องการในฐานข้อมูลส่วนตัว ฉันหวังว่าจะลบมัน

18 database-design  security 

ดูโครงสร้างของเว็บไซต์ที่ใช้ PHP / MySQL ส่วนใหญ่ที่ฉันเห็นมันไม่ยากที่จะแยกแยะรหัสผ่านฐานข้อมูลถ้าคุณขุดบิตเนื่องจากมีไฟล์ติดตั้งหรือการกำหนดค่าบางอย่างที่เก็บข้อมูลสำหรับบันทึก ลงในฐานข้อมูล นอกเหนือจากข้อควรระวังเบื้องต้นของการทำให้แน่ใจว่าสิทธิ์ของฐานข้อมูลของฉันถูก จำกัด อย่างเหมาะสมสำหรับการร้องขอระยะไกลตัวเลือกใดบ้างที่ฉันสามารถนำไปใช้ในโครงการของตัวเองเพื่อปกป้องข้อมูลนี้

18 mysql  security 

ฉันมีผู้ใช้รับ ORA-28002 โดยระบุว่ารหัสผ่านจะหมดอายุภายในหกวัน ฉันวิ่งต่อไปนี้: ALTER PROFILE DEFAULT LIMIT PASSWORD_LIFE_TIME UNLIMITED; แต่เมื่อฉันพยายามเข้าสู่ระบบในฐานะผู้ใช้ข้อความยังคงมีอยู่ ดำเนินการนี้: select * from dba_profiles where RESOURCE_NAME LIKE 'PASSWORD_LIFE_TIME'; แสดงให้เห็นว่าค่านั้นถูกเปลี่ยนเป็น UNLIMITED จริงๆ

18 oracle  security 

ฉันมีแอพที่จะปรับใช้ในการผลิตที่ใช้ความปลอดภัย 'ระบบเกียรติ' นั่นคือผู้ใช้ทั้งหมดเชื่อมต่อกับฐานข้อมูลโดยใช้ข้อมูลประจำตัวผู้ใช้ SQL / passwd และแอปจัดการสิทธิ์เอง ส่วนหลังไม่ได้รบกวนฉันเท่าที่ความจริงที่ว่าวัตถุการเชื่อมต่อมีข้อมูลประจำตัวที่ฝังตัวและสามารถคัดลอกได้อย่างอิสระ ฉันพยายามหาวิธี จำกัด การเชื่อมต่อกับชุดลูกค้าที่ จำกัด มากขึ้น ฉันสามารถสร้างกฎไฟร์วอลล์เพื่อ จำกัด โดย IP แน่นอน มีวิธีใดบ้างในการ 'เข้าสู่ระบบ SQL ล่วงหน้า' โดยใช้บัญชี Machine หรือการเป็นสมาชิกของโดเมน?

17 sql-server  sql-server-2012  security 

เมื่อฉันมองในผมเห็นคอลัมน์ที่เรียกว่าsys.sql_logins is_policy_checkedฉันสามารถเชื่อถือได้ว่านโยบายรหัสผ่านของฉันได้รับการตรวจสอบสำหรับการเข้าสู่ระบบทั้งหมดที่ค่าคอลัมน์นี้คือ1อะไร?

16 sql-server  security  logins  password 

เรามีผู้ใช้ที่กำลังออกจากและฉันจำเป็นต้องรู้ทุกวัตถุฐานข้อมูลที่เขาเป็นเจ้าของ มีแบบสอบถามที่จะให้ข้อมูลนี้หรือไม่?

16 sql-server  sql-server-2008  security 

มีการใช้ใบรับรองใดในการเข้ารหัสแต่ละฐานข้อมูลในอินสแตนซ์ ฉันสามารถรับข้อมูลโดยใช้ข้อมูลต่อไปนี้ แต่ฉันจะเขียนแบบสอบถามได้อย่างไร USE master GO -- this provides the list of certificates SELECT * FROM sys.certificates -- this provides the list of databases (encryption_state = 3) is encrypted SELECT * FROM sys.dm_database_encryption_keys WHERE encryption_state = 3; ฉันสังเกตเห็นว่าคอลัมน์ sys.certifcates.thumbprint และ sys.dm_database_encryption_keys.encryptor_thumbprint มีข้อมูลเดียวกัน

15 sql-server  security  encryption  transparent-data-encryption 

ก่อนอื่นให้พื้นหลัง โครงการ LedgerSMB เป็นโครงการซอฟต์แวร์บัญชีการเงินที่ทำงานบน PostgreSQL เราใช้ตรรกะทางธุรกิจจำนวนมากในฟังก์ชั่นที่ผู้ใช้กำหนดซึ่งทำหน้าที่เป็นเครื่องมือการแมปหลักระหว่างวิธีการวัตถุของโปรแกรมและพฤติกรรมฐานข้อมูล ขณะนี้เราใช้ผู้ใช้ฐานข้อมูลเป็นผู้ใช้การพิสูจน์ตัวตนส่วนหนึ่งเป็นตัวเลือก (สิ่งนี้อนุญาตให้ตรรกะความปลอดภัยส่วนกลางเพื่อให้เครื่องมืออื่น ๆ สามารถเขียนและใช้สิทธิ์ที่ให้แก่ผู้ใช้) และอีกส่วนตามความจำเป็น (หลังจากเราแยกจาก SQL-Ledger ไม่มีตัวเลือกมากมายสำหรับการปรับเปลี่ยนการรักษาความปลอดภัยไปยัง codebase นั้น) วิธีนี้ทำให้เราสามารถเข้าถึงตัวเลือกการลงชื่อเข้าใช้เพียงครั้งเดียวที่ PostgreSQL สามารถเข้าถึงได้ตั้งแต่ LDAP ไปจนถึง Kerberos 5. เราสามารถใช้ PAM ที่เกี่ยวข้องกับรหัสผ่าน นอกจากนี้ยังช่วยให้เราสามารถใช้สิทธิ์อีกครั้งเมื่อรวมกับแอปพลิเคชันอื่นหรืออนุญาตให้ส่วนต่อประสานลูกค้าอื่น ๆ สำหรับแอปพลิเคชันการบัญชีการเงินดูเหมือนว่าจะชนะสุทธิ มีค่าใช้จ่ายที่เกี่ยวข้องอย่างชัดเจน สำหรับเว็บแอปพลิเคชันเรา จำกัด ประเภท http auth ที่สามารถรองรับได้มาก ตัวอย่างเช่น DIGEST นั้นหมดไปแล้ว การทำงานพื้นฐานและเราสามารถใช้ KRB5 ได้ง่ายพอ (ฉันวางแผนว่าจะให้การสนับสนุนและทำงานนอกกรอบสำหรับ 1.4) มาตรการการรับรองความถูกต้องที่แข็งแกร่งมากไม่สามารถจัดการได้อย่างถูกต้องโดยตรงแม้ว่าเราอาจจะสามารถกำหนดมาตรการเหล่านี้ได้ในกรณีที่จำเป็น (ตัวอย่างเช่นใบรับรอง SSL BASIC + ฝั่งไคลเอ็นต์ที่มี …

15 database-design  postgresql  security 

ฉันขอแผนผังแนวคิดจากระบบข้อมูลของหน่วยงานรัฐบาลเพื่อการวิจัยของฉัน คำขอของฉันถูกปฏิเสธเนื่องจากมีความเสี่ยงด้านความปลอดภัย ฉันไม่มีประสบการณ์ในฐานข้อมูลที่กว้างขวางดังนั้นฉันจึงไม่สามารถตรวจสอบการอ้างสิทธิ์ได้ การเปิดเผยสคีมาของคุณนั้นมีความเสี่ยงด้านความปลอดภัยหรือไม่? ฉันหมายความว่าสิ่งเหล่านี้ค่อนข้างเป็นนามธรรมและหย่าขาดจากการใช้งานฮาร์ดแวร์และซอฟต์แวร์ คำอธิบายเกี่ยวกับวิธีที่ผู้โจมตีสามารถใช้ประโยชน์จากแบบแผนแนวคิดจะได้รับการชื่นชม ขอบคุณ

15 database-design  security 

ฉันต้องการลบข้อมูลทางนิติเวชออกจาก oracle หากฉันเพิ่งลบมันความเข้าใจของฉันคือข้อมูลจะยังคงอยู่ในไฟล์ข้อมูลจนกว่าจะนำพื้นที่นั้นกลับมาใช้ใหม่ ฉันไม่ได้กังวลเกี่ยวกับการทำซ้ำ / เก็บถาวร / เลิกพื้นที่เหล่านั้นจะหมดอายุเร็วพอสมควร มีวิธีใดที่จะทำให้แน่ใจว่าข้อมูลถูกลบออกจากไฟล์ข้อมูลจริงหรือไม่?

15 oracle  security 

ฉันพยายามแก้ไขปัญหาการเข้าสู่ระบบที่ไม่สามารถดูตารางบางอย่างในฐานข้อมูล SQL Server 2012 ในการทำเช่นนั้นฉันพบว่าฉันไม่ค่อยเข้าใจในการเป็นสมาชิกในdb_ownerบทบาทที่อนุญาต ฉันสามารถเข้าใจบทบาทอื่น ๆ เช่นdb_datareader and db_datawriterแต่ฉันยังคงสับสนกับสิ่งที่db_ownerอนุญาต

15 sql-server  sql-server-2012  security 

ฉันตั้งใจจะใช้UNIQUEIDENTIFIERเป็นคีย์การเข้าถึงที่ผู้ใช้สามารถใช้เพื่อเข้าถึงข้อมูลบางอย่าง กุญแจจะทำหน้าที่เป็นรหัสผ่านในแง่นั้น ฉันจำเป็นต้องสร้างตัวระบุหลายตัวเป็นส่วนหนึ่งของINSERT...SELECTคำสั่ง ด้วยเหตุผลทางสถาปัตยกรรมฉันต้องการสร้างตัวระบุฝั่งเซิร์ฟเวอร์ในกรณีนี้ ฉันจะสร้างแบบสุ่มที่ปลอดภัยได้UNIQUEIDENTIFIERอย่างไร โปรดทราบว่าNEWIDจะไม่สามารถสุ่มได้มากพอเนื่องจากไม่ได้รับประกันคุณสมบัติความปลอดภัยใด ๆ เลย ฉันกำลังมองหา SQL Server ที่เทียบเท่ากับSystem.Security.Cryptography.RandomNumberGeneratorเพราะฉันต้องการ ID ที่ไม่สามารถคาดเดาได้ สิ่งใดขึ้นอยู่กับCHECKSUM, RANDหรือGETUTCDATEยังจะได้มีสิทธิ์

15 sql-server  sql-server-2012  security  uniqueidentifier  cryptography 

ฉันได้ให้สิทธิ์การเป็นเจ้าของ schema db_owner แก่ผู้ใช้โดยไม่ได้ตั้งใจ (โดยใช้ช่องทำเครื่องหมายใน UI ด้านล่าง) และตอนนี้ฉันไม่สามารถ: โอนสิทธิ์การเป็นเจ้าของให้กับผู้ใช้รายอื่น ดร็อปผู้ใช้จาก DB (แม้ว่าฉันสามารถลบล็อกอินใน SQL Server) ฉันลองหลักการฐานข้อมูลเป็นเจ้าของสคีมาในฐานข้อมูลและไม่สามารถลบได้ ALTER AUTHORIZATION ON SCHEMA::db_owner TO dbo และในขณะที่เสร็จสมบูรณ์ผู้ใช้ยังคงเป็นเจ้าของและเป็นสีเทาดังนั้นฉันจึงไม่สามารถทำได้ใน UI เช่นกัน พบวิธีแก้ปัญหา: นอกเหนือจากคำตอบของ Arronฉันรู้ว่าฉันเรียกใช้คำสั่งข้างต้นในฐานข้อมูลผิด (facepalm!) เมื่อ DB ได้รับการแก้ไขทั้ง SQL ข้างต้นและคำตอบด้านล่างทำงาน

15 sql-server-2012  security  schema 

ฉันรู้ว่าเราสามารถตรวจสอบการเข้าสู่ระบบและผู้ใช้ที่กำหนดโดยใช้ GUI ใน SQL Server แต่ฉันสงสัยว่าเราสามารถตรวจสอบนี้ได้โดยใช้สคริปต์ ฉันเรียกใช้แบบสอบถามด้านล่าง แต่แสดงให้เห็นว่า Principal_id ซึ่งฉันไม่แน่ใจว่าจะแมปอย่างไรเพื่อรับระดับสิทธิ์ SELECT * FROM Sys.login_token ดังนั้นจึงมี proc ที่เก็บไว้ในตัวที่สามารถแสดงรายการการเข้าสู่ระบบและผู้ใช้ที่มีระดับสิทธิ์ของพวกเขา ? ขอขอบคุณ.

14 sql-server  sql-server-2008  security 

ฉันรู้ว่าฉันสามารถสอบถามสิทธิ์ที่มีประสิทธิภาพโดยใช้sys.fn_my_permissions: USE myDatabase; SELECT * FROM fn_my_permissions('dbo.myTable', 'OBJECT') entity_name | subentity_name | permission_name ------------------------------------------------ dbo.myTable | | SELECT dbo.myTable | | UPDATE ... สิ่งนี้บอกฉันว่าผู้ใช้ปัจจุบันมีสิทธิ์ SELECT, INSERT, UPDATE และอื่น ๆmyTableในฐานข้อมูลmyDatabaseหรือไม่ เป็นไปได้ไหมที่จะค้นหาสาเหตุที่ผู้ใช้มีสิทธิ์เหล่านี้อย่างง่ายดาย ตัวอย่างเช่นฉันชอบมีฟังก์ชันfn_my_permissions_exที่แสดงreasonคอลัมน์เพิ่มเติม: USE myDatabase; SELECT * FROM fn_my_permissions_ex('dbo.myTable', 'OBJECT') entity_name | subentity_name | permission_name | reason ------------------------------------------------------------------------------------------------------------------------------------ dbo.myTable | | SELECT …

14 sql-server  security  permissions  debugging