Запретить пользователю SYSDBA доступ к базе Firebird

and_kors

Турист
Регистрация
30 Ноя 2007
Сообщения
24
Реакции
0
Credits
56
Не забывайте про возможность утащить файл базы на другую машину и там свободно его смотреть через локальный сервер под SYSDBA.
 

pppDSV

Местный
Регистрация
23 Фев 2008
Сообщения
9
Реакции
4
Credits
18
Не забывайте про возможность утащить файл базы на другую машину и там свободно его смотреть через локальный сервер под SYSDBA.

+1 - Все защиты от сисадмина - величайшая глупость. Если он имеет прямой доступ к файлам БД - не защитишься
ни чем.
 

F_AV_N

Турист
Регистрация
17 Сен 2008
Сообщения
5
Реакции
0
Credits
8
В свое время похожая задача решилась под Виндой относительно просто - ввели длинный пароль для SYSDBA, шифранули от его имени каталоги с БД и с БД паролей FB (где FB установлен), запустили сервис FB от имени SYSDBA. Админ сервера пароль не знает, может только его сбросить. Но шифрованная БД при этом сдохнет. Прибить установку FB тоже не получится, как и перенести БД на другой комп.
 

Tinitus

Premium
Регистрация
14 Ноя 2010
Сообщения
66
Реакции
8
Credits
78
Попросить кого нить придумать и ввести два раза очень сложный пароль для SYSDBA
а потом его в Москву реку.

На сколько я знаю, это не поможет. Юзер делает backup и потом делает restore со своей паролью, после чего он может подключаться к БД с SYSDBA и этой паролью.


А откуда такая задача вообще? Почти во всех СУБД есть системный пользователь, который нужен для системных операций. Или заказчику бекап-рестор никогда не понадобится? Достаточно чтобы не было физического доступа к серверу. Остальное сам FB сделает.

По крайней мере в моём случае дело в том, что некоторые конкуренты тоже пользуються Firebird. Таким образом они могут заглядывать в мою ДБ и видеть что я там делаю и как. Это их не касается.

Дополнительно к этому некоторые клиенты тоже интересуются этим и начинают химичеть, хотя это и их не касается.

Поэтому я тоже интересуюсь возможностями предотвращения доступа к ДБ, если не известна пароль.

Интересно было-бы узнать подробности об этих двух коментарах:

В версии 25 сделали редирект админских полномочий так что SYSDBA можно истребить как класс.

Я шифрую пароль и его может расшифровать только клиент, а больше про него никто не знает )


В версии 2.5 у SYSDBA можно отнять права.


...Или о других возможностях.
 

tomor

Местный
Регистрация
4 Апр 2011
Сообщения
5
Реакции
0
Credits
8
Смена пароля из командной строки
gsec.exe -user SYSDBA -password masterkey -modify SYSDBA -pw 'Новый пароль'