當(dāng)前位置 : 首頁(yè)>網(wǎng)絡(luò)\服務(wù)器>學(xué)堂>正文

數(shù)據(jù)庫(kù)服務(wù)器安全的權(quán)限控制策略

http://m.yibo1263.com　2009-1-16 8:09:02 　來(lái)源:東北IT網(wǎng) 　編輯:葉子

　　三、正確的鑒別客戶端

　　正確的鑒別客戶端的合法性，這是提高應(yīng)用服務(wù)器安全性的一個(gè)不二法則。有時(shí)候，為了服務(wù)器安全性考慮，必須要求對(duì)客戶端的合法性進(jìn)行鑒別。對(duì)此，我們可以通過(guò)如下措施來(lái)管理客戶端。

　　一是對(duì)于具有管理員賬戶的角色進(jìn)行遠(yuǎn)程鑒別。雖然從理論上說(shuō)，可以對(duì)任何一臺(tái)客戶端都采取遠(yuǎn)程鑒別，如通過(guò)主機(jī)名或者IP地址進(jìn)行合法性鑒別。但是，這么做的話，往往太過(guò)于小題大做，會(huì)增加管理上的煩惱。或者說(shuō)，投入與回報(bào)不成正比。所以，在實(shí)際配置中，筆者不會(huì)對(duì)每一臺(tái)客戶端都進(jìn)行合法性驗(yàn)證。而只對(duì)于利用管理員賬戶登陸服務(wù)器的客戶端才進(jìn)行合法性驗(yàn)證。如可以在數(shù)據(jù)庫(kù)服務(wù)器上進(jìn)行設(shè)置，只有哪幾個(gè)IP地址才可以通過(guò)管理員角色連接到數(shù)據(jù)庫(kù)系統(tǒng)中。通過(guò)對(duì)客戶端身份的合法鑒別，就可以再進(jìn)一步提高數(shù)據(jù)庫(kù)服務(wù)器管理員角色賬戶的安全性。即使管理員賬戶與口令被竊取，有客戶端身份驗(yàn)證這一功能，也不怕他們進(jìn)行非法攻擊。

　　二是不要太過(guò)于相應(yīng)客戶端的自我保護(hù)功能。如在某個(gè)品牌的數(shù)據(jù)庫(kù)系統(tǒng)中，有一種遠(yuǎn)程鑒別功能。他會(huì)處理連接到數(shù)據(jù)庫(kù)的遠(yuǎn)程客戶的用戶鑒別問(wèn)題。數(shù)據(jù)庫(kù)絕對(duì)信任任何客戶都已經(jīng)進(jìn)行了正確的鑒別。但是，我們都知道，在任何情況下，我們不能夠相信客戶端會(huì)正確地執(zhí)行操作系統(tǒng)鑒別。故，往往這個(gè)安全特性只是作為擺設(shè)。對(duì)于數(shù)據(jù)庫(kù)服務(wù)器來(lái)說(shuō)，一個(gè)比較安全的做法是，不采用這種遠(yuǎn)程鑒別功能，而是在服務(wù)器上對(duì)客戶端進(jìn)行統(tǒng)一的鑒別。如在服務(wù)器上，通過(guò)身份認(rèn)證功能來(lái)確保連接到服務(wù)器上的客戶端的合法性與真實(shí)性。

　　四、數(shù)據(jù)庫(kù)系統(tǒng)最好不要穿透防火墻

　　如果把數(shù)據(jù)庫(kù)服務(wù)器放置在防火墻的后面，則最好在任何情況下，都不要穿透該防火墻。否則的話，會(huì)讓數(shù)據(jù)庫(kù)系統(tǒng)失去防火墻的保護(hù)，從而把數(shù)據(jù)庫(kù)暴露在互聯(lián)網(wǎng)下，成為眾多黑客茶余飯后“調(diào)戲”、“攻擊”的對(duì)象。

　　例如，不要打開(kāi)數(shù)據(jù)庫(kù)的1521端口來(lái)與互聯(lián)網(wǎng)進(jìn)行連接。如果用戶執(zhí)意要這么做的話，則會(huì)引起很多重要的安全弱點(diǎn)。因?yàn)楣粽呖梢詰{借這個(gè)弱點(diǎn)，打開(kāi)更多的穿透防火墻的端口、多線程操作系統(tǒng)服務(wù)器的問(wèn)題，以及泄漏防火墻后面應(yīng)用服務(wù)器中的重要信息。再者，這個(gè)弱點(diǎn)還有可能被用來(lái)探測(cè)數(shù)據(jù)庫(kù)服務(wù)器的關(guān)鍵細(xì)節(jié)，如利用竊聽(tīng)監(jiān)聽(tīng)器來(lái)獲得關(guān)鍵信息。因?yàn)楸O(jiān)聽(tīng)器會(huì)監(jiān)聽(tīng)該數(shù)據(jù)庫(kù)的運(yùn)行軌跡、登陸信息、標(biāo)識(shí)信息、數(shù)據(jù)庫(kù)描述服務(wù)以及服務(wù)名等等。

　　所以，執(zhí)意把放在企業(yè)防火墻背后的應(yīng)用服務(wù)器中的某個(gè)關(guān)鍵端口，設(shè)置成為穿透防火墻的端口是一種很不好的安全習(xí)慣。雖然其可以帶來(lái)管理上的方便，但是，出于安全考慮，筆者還是不建議管理員進(jìn)行如此的配置。

　　針對(duì)數(shù)據(jù)庫(kù)應(yīng)用服務(wù)器的訪問(wèn)與連接的權(quán)限控制，還有許多。以上四個(gè)方面，是大家在數(shù)據(jù)庫(kù)服務(wù)器部署的時(shí)候，容易忽視的幾個(gè)地方。希望這篇文章，能夠給大家一些提醒。

本新聞共2頁(yè),當(dāng)前在第2頁(yè) 1 2

【收藏】【打印】【進(jìn)入論壇】

亚洲AV无码乱码在线观看不卡|最新大伊香蕉精品视频在线|亚洲不卡av一区二区|国产美女无遮挡免费