ГЛАВА 34. Защита сервера.
ГЛАВА 34. Защита сервера.
Инсталляция сервера включает базу данных идентификации пользователя для хранения описания всех пользователей, которые имеют доступ к серверу Firebird. Чувствительный к регистру пароль должен быть определен для каждого пользователя и должен быть использован для доступа к серверу. Инструментом командной строки для поддержки пользователей баз данных является gsec.
Именем базы данных безопасности для Firebird 1.5 и выше является security.fdb. В версии l.O.x это файл isc4.gdb. Он должен размещаться в корневом каталоге Firebird для всех инсталляций сервера за исключением встроенного сервера для Windows[134].
Идентификация пользователя требуется, когда удаленный или локальный клиент соединяется с базой данных Firebird. Единственным исключением является случай, когда клиент соединяется через приложение встроенного сервера в Windows. В этой ситуации база данных потребует имя пользователя, соответствующее разрешениям SQL, определенным для ее объектов. Не будет выполняться никакой идентификации имени/пароля пользователя при соединении встроенного процесса клиент-сервер.
Ввод учетных данных пользователя
Основное использование gsec - или интерфейса gsec - ввод учетных данных пользователя. Интерфейс gsec шифрует пароли перед их сохранением. Не соединяйтесь из пользовательского приложения или из инструмента администратора непосредственно с базой данных безопасности для запуска скрипта с целью "пакетного ввода" пользователей, потому что пароль в этом случае будет сохраняться в виде чистого, незашифрованного текста.
! ! !
СОВЕТ. В Firebird существуют сервисы API, которые связываются в gsec вместе с другими инструментами командной строки. Некоторые инструменты администратора сторонних разработчиков предоставляют доступ к gsec для поддержания учетных данных пользователей через сервисы API в более дружественном интерфейсе, чем утилиты командной строки.
. ! .
Требуемыми данными являются имя пользователя и пароль. Для имен пользователей и паролей в настоящий момент не поддерживаются международные наборы символов.
Только пользователь SYSDBA может обслуживать базу данных безопасности. Это означает, что вновь установленный Firebird не поддерживает изменения пользователями своих собственных паролей. Техники настроек идентификации пользователей на вашем сервере и реализацию этих возможностей см. в разд. "Специальная тема" в конце этой главы.
Имя пользователя чувствительно к регистру и должно быть уникальным. В настоящий момент оно может содержать только символы, допустимые для идентификаторов объектов: А-2 (или а-z), цифры и символы !, #, $, &, @. Теоретически имя пользователя может содержать до 128 символов, но вы должны рассматривать его ограниченным 31 символом, потому что более длинное имя не будет верным при использовании разрешений SQL.
! ! !
ВНИМАНИЕ! gsec позволит вам определять глупые имена пользователей, такие как строки звездочек или "смайлики" вроде :), однако не прельщайтесь этим! Подобные строки неприемлемы на месте, где используются имена пользователей - в параметрах соединения или операторах разрешения.
. ! .
Пароль может содержать до 32 символов, однако только первые восемь являются значимыми. Поэтому, например, пароли masterkey и masterkeeper для сервера выглядят идентичными. Пароли чувствительны к регистру. Допустимые символы такие же, как и для имени пользователя, но прописные буквы отличаются от строчных. Пароли не обязаны быть уникальными, хотя это и желательно для целей повышения безопасности.
! ! !
ПРИМЕЧАНИЕ. Некоторые интерфейсы администратора накладывают ограничение в восемь символов и не допускают имена пользователей и пароли, которые начинаются с цифры. Хотя это и не является ограничением системы безопасности баз данных, имеет смысл следовать такой практике.
. ! .
Шифрование пароля
Интерфейс gsec шифрует пароли, используя скромный метод, основанный на алгоритме хэширования DES (Data Encryption Standard, стандарт шифрования данных). По причине восьмисимвольного ограничения идентификация пользователя в Firebird на сегодняшний день не может рассматриваться как "центурион у ворот в современную эпоху"[135].
Все-таки исключите такие очевидные пароли, как password и sesame. Смешивайте регистр, включите цифры и обеспечьте регулярное изменение паролей.
! ! !
СОВЕТ. Поскольку невозможно отыскать потерянные пароли с помощью запросов к системе, вам нужна непробиваемая система фиксации паролей пользователей при их изменении. Глупая болтовня про отслеживание пользователей не может быть той системой, которую осознанно выбирает организация для средств безопасности! Потеря паролей может быть восстановлена пользователем SYSDBA. Если же будет потерян пароль у SYSDBA, то вся база данных безопасности должна быть заменена путем восстановления файла security.fdb, который вы найдете в корневом каталоге Firebird (для Firebird 1.0.x это файл isc4.gdb). Начните работу с паролем masterkey.
. ! .
Более 800 000 книг и аудиокниг! 📚
Получи 2 месяца Литрес Подписки в подарок и наслаждайся неограниченным чтением
ПОЛУЧИТЬ ПОДАРОКЧитайте также
Глава 4 Защита информации в компьютерных системах
Глава 4 Защита информации в компьютерных системах 4.1. Основные положения теории информационной безопасности информационных систем Одной из наиболее важных проблем является надежная защита в информационном пространстве информационного обеспечения и предупреждение
Глава 20 Поддержка Web-сервера
Глава 20 Поддержка Web-сервера Многие пользователи не видят различий между системой World Wide Web и Internet в целом, хотя каждый специалист знает, что функционирование Internet обеспечивается большим количеством серверов, поддерживающих различные протоколы. Если же говорить о
13.8. Защита сервера DNS
13.8. Защита сервера DNS 13.8.1. Настройка и запуск DNS-сервера в chroot-окружении Из соображений безопасности рекомендуется запускать все сетевые сервисы в так называемом chroot-окружении (change root). Это файловая система, повторяющая структуру корневой файловой системы, но содержащая
Глава 15 Настройка сервера FTP
Глава 15 Настройка сервера FTP FTP (File Transfer Protocol) — один из старейших протоколов Интернета — используется для обмена файлами между системами. Обычно на FTP-сервере размещают свободно распространяемое программное обеспечение, документацию, обновления программ, драйверы и
16.13. Защита сервера Apache
16.13. Защита сервера Apache По окончании настройки сервера запретим изменение и удаление файла конфигурации:[root@webserver]# chattr +i /etc/httpd/conf/httpd.confПосле этого вы (и никто другой) не сможете изменить этот файл даже с помощью конфигуратора.Желательно также установить права 511 для
17.4. Защита сервера MySQL
17.4. Защита сервера MySQL По умолчанию для файла сокета mysql.sock, который используется соединениями сервера MySQL, установлены права доступа 0777. Это означает, что кто угодно может удалить этот файл. Если данный файл будет удален во время работы сервера, то ни один пользователь не
Глава 11 Защита информации
Глава 11 Защита информации 11.1. Основы защиты информации и сведений, составляющих государственную тайну Понятие «информация» сегодня употребляется весьма широко и разносторонне. Трудно найти такую область знаний, где бы оно не использовалось. Огромные информационные
Глава 5. Защита от сетевых атак
Глава 5. Защита от сетевых атак Безопасность информации компьютерных сетей и отдельных компьютеров достигается проведением единой политики защитных мероприятий, а также системой мер правового, организационного и инженерно-технического характера.При разработке
Глава 6. Защита данных на компьютере
Глава 6. Защита данных на компьютере Ужасно обидно, когда из-за хакерской атаки виснет компьютер или гибнет операционная система. Обидно, но в большинстве случаев несмертельно. Операционная система переустанавливается с дистрибутива. На машину заливается весь софт
Глава 4 Защита от вредоносного ПО
Глава 4 Защита от вредоносного ПО ? Краткая классификация вредоносного ПО? Выбираем лучший антивирус? Защищаем свой компьютер от троянских коней? Практический экзорцизм – изгоняем "зло-код" голыми рукамиНовейшие версии вредоносного ПО, которое не определяется
Глава 23 Защита коммерческой информации
Глава 23 Защита коммерческой информации В заключение необходимо сказать несколько слов о защите коммерческой информации.При передаче через Интернет важной информации часто прибегают к ее шифрованию. Для чего это нужно? Приведем простой пример. Допустим, некая компания
Глава 20 Защита от вирусов
Глава 20 Защита от вирусов • «Антивирус Касперского»• NOD32Врачи говорят: профилактика – лучшее лечение. Слова эти применимы не только к медицине. Несколько десятков лет назад компьютеры также стали заражаться. Компьютерные вирусы создал человек. Зачем? Достоверно это не