<span id="7py28"><label id="7py28"></label></span>

設(shè)為首頁 | 收藏本站

當(dāng)前位置 : 首頁>網(wǎng)絡(luò)\服務(wù)器>學(xué)堂>正文

數(shù)據(jù)庫服務(wù)器安全的權(quán)限控制策略

http://m.yibo1263.com　2009-1-16 8:09:02 　來源:東北IT網(wǎng) 　編輯:葉子

　　三、正確的鑒別客戶端

　　正確的鑒別客戶端的合法性，這是提高應(yīng)用服務(wù)器安全性的一個不二法則。有時候，為了服務(wù)器安全性考慮，必須要求對客戶端的合法性進(jìn)行鑒別。對此，我們可以通過如下措施來管理客戶端。

　　一是對于具有管理員賬戶的角色進(jìn)行遠(yuǎn)程鑒別。雖然從理論上說，可以對任何一臺客戶端都采取遠(yuǎn)程鑒別，如通過主機(jī)名或者IP地址進(jìn)行合法性鑒別。但是，這么做的話，往往太過于小題大做，會增加管理上的煩惱�；蛘哒f，投入與回報不成正比。所以，在實際配置中，筆者不會對每一臺客戶端都進(jìn)行合法性驗證。而只對于利用管理員賬戶登陸服務(wù)器的客戶端才進(jìn)行合法性驗證。如可以在數(shù)據(jù)庫服務(wù)器上進(jìn)行設(shè)置，只有哪幾個IP地址才可以通過管理員角色連接到數(shù)據(jù)庫系統(tǒng)中。通過對客戶端身份的合法鑒別，就可以再進(jìn)一步提高數(shù)據(jù)庫服務(wù)器管理員角色賬戶的安全性。即使管理員賬戶與口令被竊取，有客戶端身份驗證這一功能，也不怕他們進(jìn)行非法攻擊。

　　二是不要太過于相應(yīng)客戶端的自我保護(hù)功能。如在某個品牌的數(shù)據(jù)庫系統(tǒng)中，有一種遠(yuǎn)程鑒別功能。他會處理連接到數(shù)據(jù)庫的遠(yuǎn)程客戶的用戶鑒別問題。數(shù)據(jù)庫絕對信任任何客戶都已經(jīng)進(jìn)行了正確的鑒別。但是，我們都知道，在任何情況下，我們不能夠相信客戶端會正確地執(zhí)行操作系統(tǒng)鑒別。故，往往這個安全特性只是作為擺設(shè)。對于數(shù)據(jù)庫服務(wù)器來說，一個比較安全的做法是，不采用這種遠(yuǎn)程鑒別功能，而是在服務(wù)器上對客戶端進(jìn)行統(tǒng)一的鑒別。如在服務(wù)器上，通過身份認(rèn)證功能來確保連接到服務(wù)器上的客戶端的合法性與真實性。

　　四、數(shù)據(jù)庫系統(tǒng)最好不要穿透防火墻

　　如果把數(shù)據(jù)庫服務(wù)器放置在防火墻的后面，則最好在任何情況下，都不要穿透該防火墻。否則的話，會讓數(shù)據(jù)庫系統(tǒng)失去防火墻的保護(hù)，從而把數(shù)據(jù)庫暴露在互聯(lián)網(wǎng)下，成為眾多黑客茶余飯后“調(diào)戲”、“攻擊”的對象。

　　例如，不要打開數(shù)據(jù)庫的1521端口來與互聯(lián)網(wǎng)進(jìn)行連接。如果用戶執(zhí)意要這么做的話，則會引起很多重要的安全弱點。因為攻擊者可以憑借這個弱點，打開更多的穿透防火墻的端口、多線程操作系統(tǒng)服務(wù)器的問題，以及泄漏防火墻后面應(yīng)用服務(wù)器中的重要信息。再者，這個弱點還有可能被用來探測數(shù)據(jù)庫服務(wù)器的關(guān)鍵細(xì)節(jié)，如利用竊聽監(jiān)聽器來獲得關(guān)鍵信息。因為監(jiān)聽器會監(jiān)聽該數(shù)據(jù)庫的運行軌跡、登陸信息、標(biāo)識信息、數(shù)據(jù)庫描述服務(wù)以及服務(wù)名等等。

　　所以，執(zhí)意把放在企業(yè)防火墻背后的應(yīng)用服務(wù)器中的某個關(guān)鍵端口，設(shè)置成為穿透防火墻的端口是一種很不好的安全習(xí)慣。雖然其可以帶來管理上的方便，但是，出于安全考慮，筆者還是不建議管理員進(jìn)行如此的配置。

　　針對數(shù)據(jù)庫應(yīng)用服務(wù)器的訪問與連接的權(quán)限控制，還有許多。以上四個方面，是大家在數(shù)據(jù)庫服務(wù)器部署的時候，容易忽視的幾個地方。希望這篇文章，能夠給大家一些提醒。

本新聞共2頁,當(dāng)前在第2頁 1 2

【收藏】【打印】【進(jìn)入論壇】

相關(guān)文章：

·教你為數(shù)據(jù)庫服務(wù)器配置存儲和內(nèi)存

亚洲AV无码乱码在线观看不卡|最新大伊香蕉精品视频在线|亚洲不卡av一区二区|国产美女无遮挡免费