AGB  ·  Datenschutz  ·  Impressum  







Anmelden
Nützliche Links
Registrieren
Thema durchsuchen
Ansicht
Themen-Optionen

Firebird Sicherheit

Ein Thema von Generalissimo · begonnen am 16. Dez 2004 · letzter Beitrag vom 17. Dez 2004
Antwort Antwort
Generalissimo

Registriert seit: 28. Aug 2003
187 Beiträge
 
Delphi 6 Enterprise
 
#1

Firebird Sicherheit

  Alt 16. Dez 2004, 12:30
Hallo,

ich habe ein Problem bezüglich der Sicherheit mit einem Firebird DB-Server.
Bei Firebird werden ja die Benutzer samt Passwort in der fbsecurity (oder so ähnlich) Datenbank
gespeichert. Kopiert man seine eingne oder fremde Datenbankdatei z.B. text.gdb in eine frische Installation
von Firebird, so kann man ja normal über SYSDBA und masterkey auf diese fremde Datenbankdatei zugreifen.

Wie kann ich das nun verhindern? Ist es so, dass der jenige User, der bei Firebird angemeldet ist und die Tabellen, Views
etc. erstellt der einzige ist der Rechte an diesen Tabellen, Views etc. hat bis man über GRANT andere berechtigt?

Wenn ja, muss ich da nur einen neuen USER z.B. MyADMIN anlegen, alle Tabellen etc. mit diesem user erstellen und schon ist das Ding sicher?

Vielleicht könnt ihr mir ja nochmal das Sicherheitskonzept von Firebird erklären. Hab schon in der Dokumentation von IB 6 gelesen und sonstige Dinge gesucht. Ich verstehs aber irgendwie nicht so recht.
  Mit Zitat antworten Zitat
Lemmy

Registriert seit: 8. Jun 2002
Ort: Berglen
2.381 Beiträge
 
Delphi 10.4 Sydney
 
#2

Re: Firebird Sicherheit

  Alt 16. Dez 2004, 12:59
Hi,

Du hast nen Benutzer "FBUser" angelegt, mit dem Du die Tabellen,... anlegst und von der Client-Seite (Delphiprogramm) auf die Datenbank zugreifst. Der Sysdba kann nun alles mit der DB machen was er will. Ist auch sinnvoll, denn der Sysdba ist i.d.R. für die Backups verantwortlich. Zudem kannst Du im Notfall immer noch auf die Daten zugreifen wenn Du das Passwort für den User verloren hast.

Nun das Beste: Wenn es jemand schafft auf Deinem Server seine eigene security.fdb zu platzieren, dann kann er ebenfalls alles machen, denn er hat ja das Passwort seines Sysdba! Deshalb ist es auch sehr wichtig, nur solchen Usern Zugriff auf den Server zu geben, die vertrauenswürdig sind, bzw. Sicherheitslücken so schnell wie möglich zu beseitigen (u.a. die Laufwerksfreigaben des FB-System Laufwerks).

Ich glaube aber irgendwo gelesen zu haben, wie man die eigenen Tabellen/SP schützen kann, finde den Artikel aber auf die Schnelle nicht. Vielleicht hilft Dir einer der Linsk weiter:

http://www.volny.cz/iprenosil/interbase/
http://www.interbasetools.de/

Lemmy
  Mit Zitat antworten Zitat
Benutzerbild von Domo Sokrat
Domo Sokrat

Registriert seit: 14. Mai 2003
Ort: Wehrheim / Ts.
235 Beiträge
 
Delphi 2006 Professional
 
#3

Re: Firebird Sicherheit

  Alt 17. Dez 2004, 09:24
Hi Generalissimo,

Zitat von Lemmy:
Deshalb ist es auch sehr wichtig, nur solchen Usern Zugriff auf den Server zu geben, die vertrauenswürdig sind, bzw. Sicherheitslücken so schnell wie möglich zu beseitigen (u.a. die Laufwerksfreigaben des FB-System Laufwerks).
Dem pflichte ich uneingeschränkt bei!

Es geht aber noch weiter: Wenn es jemand (aufgrund unzulänglicher, BS-seitiger Absicherung - siehe Zitat) schaffen sollte, die Datenbankdatei (fdb oder gdb) zu kopieren und lokal abzulegen und sich dann über einen FB embedded Server Zugriff auf die Datenbank verschafft, dann hast Du imho verloren! Denn wenn der Zugriff über einen embedded Server läuft, wird die "Benutzer- und Passwortprüfung" umgangen ! Eine Anmeldung als SYSDBA (ohne Kennwort) ist möglich und somit ist die Datenbank offen, wie ein Scheunentor!!! Der embeded FB Server benötigt keine security.fdb!
Michael Seeger
Vergesst nicht: Es wird überall nur mit Wasser gekocht
ZEOSLib - Admin-Team
ZeosLib-Forum
  Mit Zitat antworten Zitat
Generalissimo

Registriert seit: 28. Aug 2003
187 Beiträge
 
Delphi 6 Enterprise
 
#4

Re: Firebird Sicherheit

  Alt 17. Dez 2004, 14:03
Hi Leute,

hm das klingt ja alles nicht so toll. Trotz seiner kostenlosen und sehr guten Fähigkeiten (Trigger, Versioning etc.) ist also das Firebird DBMS für kommerzielle Elemente eher ungeeignet. Meiner Erfahrung nach (das hab ich inzwischen bei einigen größeren Firmen gesehen) ist das ausschließen Dritter eher nicht gegeben. Bei manchen stehen die Server eben genauso weit offen.

Hm dann müsste sich meine Firma also vertragsrechtlich dahingehend absichern.

Weiß jemand ob für Firebird in höheren Versionen geplant ist, das Security-Prinzip (User, UserRights) in die DB mitaufzunehmen und nicht mehr zentral?
  Mit Zitat antworten Zitat
Lemmy

Registriert seit: 8. Jun 2002
Ort: Berglen
2.381 Beiträge
 
Delphi 10.4 Sydney
 
#5

Re: Firebird Sicherheit

  Alt 17. Dez 2004, 14:21
Hi,

sind denn die anderen DBMS da besser? Ein ungeschützter Zugriff auf den Datenbankserver ist immer ein GAU, egal welches DBMS darauf läuft! Außerdem kannst Du doch für jeden Benutzer den Du Firebird bekannt gibts Rechte zuweisen, wer auf welche Tabelle wie zugreifen darf usw. Mehr braucht man doch auch gar nicht, oder??

Lemmy
  Mit Zitat antworten Zitat
Antwort Antwort


Forumregeln

Es ist dir nicht erlaubt, neue Themen zu verfassen.
Es ist dir nicht erlaubt, auf Beiträge zu antworten.
Es ist dir nicht erlaubt, Anhänge hochzuladen.
Es ist dir nicht erlaubt, deine Beiträge zu bearbeiten.

BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus.
Trackbacks are an
Pingbacks are an
Refbacks are aus

Gehe zu:

Impressum · AGB · Datenschutz · Nach oben
Alle Zeitangaben in WEZ +1. Es ist jetzt 13:08 Uhr.
Powered by vBulletin® Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.
LinkBacks Enabled by vBSEO © 2011, Crawlability, Inc.
Delphi-PRAXiS (c) 2002 - 2023 by Daniel R. Wolf, 2024 by Thomas Breitkreuz