數(shù)據(jù)庫服務器安全的權限控制策略

http://m.yibo1263.com　2009-1-16 8:09:02 　來源:東北IT網(wǎng) 　編輯:葉子

　　三、正確的鑒別客戶端

　　正確的鑒別客戶端的合法性，這是提高應用服務器安全性的一個不二法則。有時候，為了服務器安全性考慮，必須要求對客戶端的合法性進行鑒別。對此，我們可以通過如下措施來管理客戶端。

　　一是對于具有管理員賬戶的角色進行遠程鑒別。雖然從理論上說，可以對任何一臺客戶端都采取遠程鑒別，如通過主機名或者IP地址進行合法性鑒別。但是，這么做的話，往往太過于小題大做，會增加管理上的煩惱�；蛘哒f，投入與回報不成正比。所以，在實際配置中，筆者不會對每一臺客戶端都進行合法性驗證。而只對于利用管理員賬戶登陸服務器的客戶端才進行合法性驗證。如可以在數(shù)據(jù)庫服務器上進行設置，只有哪幾個IP地址才可以通過管理員角色連接到數(shù)據(jù)庫系統(tǒng)中。通過對客戶端身份的合法鑒別，就可以再進一步提高數(shù)據(jù)庫服務器管理員角色賬戶的安全性。即使管理員賬戶與口令被竊取，有客戶端身份驗證這一功能，也不怕他們進行非法攻擊。

　　二是不要太過于相應客戶端的自我保護功能。如在某個品牌的數(shù)據(jù)庫系統(tǒng)中，有一種遠程鑒別功能。他會處理連接到數(shù)據(jù)庫的遠程客戶的用戶鑒別問題。數(shù)據(jù)庫絕對信任任何客戶都已經(jīng)進行了正確的鑒別。但是，我們都知道，在任何情況下，我們不能夠相信客戶端會正確地執(zhí)行操作系統(tǒng)鑒別。故，往往這個安全特性只是作為擺設。對于數(shù)據(jù)庫服務器來說，一個比較安全的做法是，不采用這種遠程鑒別功能，而是在服務器上對客戶端進行統(tǒng)一的鑒別。如在服務器上，通過身份認證功能來確保連接到服務器上的客戶端的合法性與真實性。

　　四、數(shù)據(jù)庫系統(tǒng)最好不要穿透防火墻

　　如果把數(shù)據(jù)庫服務器放置在防火墻的后面，則最好在任何情況下，都不要穿透該防火墻。否則的話，會讓數(shù)據(jù)庫系統(tǒng)失去防火墻的保護，從而把數(shù)據(jù)庫暴露在互聯(lián)網(wǎng)下，成為眾多黑客茶余飯后“調(diào)戲”、“攻擊”的對象。

　　例如，不要打開數(shù)據(jù)庫的1521端口來與互聯(lián)網(wǎng)進行連接。如果用戶執(zhí)意要這么做的話，則會引起很多重要的安全弱點。因為攻擊者可以憑借這個弱點，打開更多的穿透防火墻的端口、多線程操作系統(tǒng)服務器的問題，以及泄漏防火墻后面應用服務器中的重要信息。再者，這個弱點還有可能被用來探測數(shù)據(jù)庫服務器的關鍵細節(jié)，如利用竊聽監(jiān)聽器來獲得關鍵信息。因為監(jiān)聽器會監(jiān)聽該數(shù)據(jù)庫的運行軌跡、登陸信息、標識信息、數(shù)據(jù)庫描述服務以及服務名等等。

　　所以，執(zhí)意把放在企業(yè)防火墻背后的應用服務器中的某個關鍵端口，設置成為穿透防火墻的端口是一種很不好的安全習慣。雖然其可以帶來管理上的方便，但是，出于安全考慮，筆者還是不建議管理員進行如此的配置。

　　針對數(shù)據(jù)庫應用服務器的訪問與連接的權限控制，還有許多。以上四個方面，是大家在數(shù)據(jù)庫服務器部署的時候，容易忽視的幾個地方。希望這篇文章，能夠給大家一些提醒。

本新聞共2頁,當前在第2頁 1 2

【收藏】【打印】【進入論壇】

·教你為數(shù)據(jù)庫服務器配置存儲和內(nèi)存

亚洲AV无码乱码在线观看不卡|最新大伊香蕉精品视频在线|亚洲不卡av一区二区|国产美女无遮挡免费