"দেখুন সার্ভারের স্থিতি" এর সুরক্ষা এবং পারফরম্যান্সের প্রভাব

13

এই প্রশ্নটি উল্লেখ করে যে বিভিন্ন ডিএমভি'র (গতিশীল পরিচালন দৃষ্টিভঙ্গি) জন্য "সার্ভারের অবস্থা দেখুন" অনুমতি প্রয়োজন, তবে আপনি কারা করেন এবং এর অনুমতি দিতে চান না সে সম্পর্কে আমি কিছুই খুঁজে পাচ্ছি না।

এখন অবশ্যই আমি "ন্যূনতম অনুমতিগুলি" বুঝতে পেরেছি, এবং আপনি কেন এটি কেবল কাউকেই দিতে চান না, তবে এটি অনুমোদিত হওয়া উচিত কি না তা মূল্যায়ন করার জন্য আমি কোনও গাইডেন্স পাই না।

সুতরাং, আমার প্রশ্ন: কোনও ব্যবহারকারীকে "সার্ভারের অবস্থা দেখুন" অনুমতি দেওয়ার সুরক্ষা এবং কর্মক্ষমতা সম্পর্কে কী বোঝা যায়। তারা কী করতে পারে যে তাদের সম্ভবত অনুমতি দেওয়া উচিত নয় ...

আপডেট : এর একটি অর্থ হ'ল ব্যবহারকারী অনুসন্ধানগুলি দেখার জন্য ডিএমভি ব্যবহার করতে সক্ষম হবেন। যদি ক্যোয়ারী বা ক্যোয়ারী প্যারামিটারগুলিতে গোপনীয় তথ্য থাকতে পারে যা ব্যবহারকারী অন্যথায় দেখতে সক্ষম হবেন না, ভিউ সার্ভারের অবস্থা তাদের এগুলি করার অনুমতি দেবে (যেমন dob = বা ssn =)।

sql-server 
jmoreno
সূত্র

উত্তর:

5

এই অনুমতি প্রদান থেকে আমি ভাবতে পারি এমন উল্লেখযোগ্য কোনও পারফরম্যান্স সমস্যা নেই। সুরক্ষার দৃষ্টিকোণ থেকে, আপনি কোনও ব্যবহারকারীকে আপনার দুর্বল দাগগুলি সম্পর্কে সর্বাধিক বিশদ কী তা দেখার সুযোগ দেওয়ার ঝুঁকিটি চালান, উদাহরণস্বরূপ, কোনও দূষিত ব্যবহারকারী আপনার সর্বাধিক সাধারণ অপেক্ষার পরিসংখ্যানগুলি দেখতে পারে যা তাদের আপনার সার্ভারের বিরুদ্ধে কোনও ডস আক্রমণকে লক্ষ্য করতে সহায়তা করতে পারে ।

এটা কি সম্ভব? স্পষ্টভাবে. এটি সম্ভবত? আমি না বলতে বাধ্য, তবে মনে রাখবেন যে অনুমান করা হয় যে সংস্থাগুলির বিরুদ্ধে 90% আক্রমণের ঘটনা অভ্যন্তরীণ আক্রমণকারীদের দ্বারা।

পিট কার্টার
সূত্র
3

প্রশাসক হিসাবে আপনি এই তথ্যটি আপনার ডোমেনে থাকার হিসাবে দেখবেন (পারফরম্যান্স / সূচক ব্যবহার / ইত্যাদি) তবে এমন কোনও সম্ভাব্য বাধ্যতামূলক কারণ রয়েছে যে কোনও উন্নয়ন সংস্থা তাদের সমর্থন করে এমন একটি বৃহত লিগ্যাসি সিস্টেমের জন্য যা কেবলমাত্র স্পর্শযুক্ত জম্বি টেবিলগুলি সনাক্ত করে উদাহরণস্বরূপ রক্ষণাবেক্ষণ প্রক্রিয়া দ্বারা।

শেষ পর্যন্ত এটি সর্বদা "ভাগ্য এবং উদারতার" বিষয় হিসাবে শেষ হয় কারণ যে কোনও নির্দিষ্ট অনুরোধটি ন্যায়সঙ্গত কিনা এটির আহ্বানটি নরম পছন্দ নয় এবং একটি খাস্তা সূত্র নয় not প্রসঙ্গ না তাকিয়ে সেরা অনুশীলনের নিদর্শনগুলির ব্যবহার নিজেই একটি সুন্দর বাজে বিরোধী-নিদর্শন এবং বাস্তবতা হ'ল অনেকেই "পাতায় হাত দিয়ে" তাদের অবস্থানের সূচনা পয়েন্ট হিসাবে উপস্থিত হন।

user61149
সূত্র
1

কর্মক্ষমতা জড়িত সম্পর্কে, আমি এই বা অন্য কোনও অনুমতিের জন্য কারও সম্পর্কে সচেতন নই।

সংক্রান্ত:

তারা কী করতে পারে যে তাদের সম্ভবত করার অনুমতি দেওয়া উচিত নয়

সোজা কথায়, তারা এমন জিনিস দেখতে পারে যা সম্ভবত তাদের দেখা উচিত নয়। এবং এটি কেবল এসকিউএল সার্ভারের দিক থেকে ভাববেন না। এই বিশেষ অনুমতিটি ডিএমভিগুলিকে যেমন sys.dm_os_sys_info এবং হোস্ট মেশিনের (হার্ডওয়্যার, পরিষেবাদি, ইত্যাদি) অন্তর্দৃষ্টি প্রদান করে এমন আরও কয়েকজনকে পরিচালনা করে। আপনার বিরুদ্ধে কী তথ্য ব্যবহার করা যেতে পারে তা আপনি সর্বদা জানেন না। এবং, যদি আপনি এখন কারও সাথে এই অনুমতি অনুসারে মঞ্জুরিপ্রাপ্ত সমস্ত কিছু দেখে ঠিক থাকেন তবে কখনও কখনও সার্ভিস প্যাকস / সংযোজনীয় আপডেটগুলিতে ডিএমভি যোগ করা হয় এবং তাই তথ্যের একটি নতুন টুকরো প্রকাশিত হয় যা আপনি অবগত নন।

এটি মঞ্জুর করা উচিত কি না তা মূল্যায়ন করার জন্য আমি কোনও গাইডেন্স পাই না।

যেহেতু আপনি ইতিমধ্যে লোকেদের প্রয়োজনীয় ন্যূনতম অনুমতি দেওয়ার কথা উল্লেখ করেছেন, তাই এটি কীভাবে নেমে আসে: অ্যাডহক ব্যবহারের জন্য কারও এই অনুমতি দরকার ? অর্থ, কারও নিজের প্রশ্নগুলি নিয়ে আসার নমনীয়তা দরকার? এক বা একাধিক সঞ্চিত প্রক্রিয়া এবং / অথবা মাল্টি-স্টেটমেন্ট টিভিএফগুলির কাজ তৈরি করবে? যদি তা হয় তবে আপনাকে কোনও ব্যবহারকারীকে অনুমতি দেওয়ার দরকার নেই (যিনি সেই অনুমতি দ্বারা অনুমোদিত কোনও কিছুর পরে নিখরচায়), এবং পরিবর্তে আপনি কোডটিতে অনুমতিগুলি প্রদান করেন (যা কেবল এটি কোড করে যা করা হয় তা করে)। মডিউল সাইন ইন আপনি এটি কীভাবে সম্পন্ন করেন। সাধারণ ধারণাটি হ'ল:

  1. পছন্দসই ক্রিয়া সম্পাদন করতে সঞ্চিত পদ্ধতি এবং / অথবা মাল্টি-স্টেটমেন্ট টিভিএফ (গুলি) তৈরি করুন।
  2. EXECUTEব্যবহারকারী এবং / অথবা ভূমিকাগুলি এই ক্রিয়া সম্পাদন করার জন্য যা প্রয়োজন তা এই মডিউলগুলিতে অনুদান দিন
  3. একটি শংসাপত্র তৈরি করুন
  4. সেই শংসাপত্রটি ব্যবহার করে মডিউল (গুলি) সাইন করুন (ব্যবহার করে ADD SIGNATURE)
  5. [master]ডাটাবেসে শংসাপত্রটি অনুলিপি করুন (যেমন [master]মডিউল (গুলি) সাইন করতে ব্যবহৃত শংসাপত্রের সার্বজনীন কী ব্যবহার করে একটি শংসাপত্র তৈরি করুন ।
  6. অনুলিপি করা শংসাপত্র থেকে একটি লগইন তৈরি করুন [master]
  7. সেই শংসাপত্র ভিত্তিক লগইন (যা উদাহরণস্বরূপ-স্তরের ভূমিকাতে এটি অন্তর্ভুক্ত থাকতে পারে) এর জন্য ইনস্টলেন্স-স্তরীয় অনুমতিগুলি যা প্রয়োজন তা মঞ্জুর করুন।

কিছু উদাহরণের জন্য, দয়া করে দেখুন:

সলোমন রুটজকি
সূত্র
0

এটি একটি সুরক্ষা সমস্যা। আপনি সর্বনিম্ন সুবিধাপ্রাপ্তের নীতিটি অনুসরণ করলে আপনি কখনই ভুল হতে পারবেন না । অন্য কথায়, যদি কোনও প্রমাণীকরণকারী অধ্যক্ষের কোনও নির্দিষ্ট অনুমতি প্রয়োজন না হয় , তবে তাদের এটি দেবেন না। আপনি কি আপনার বাড়ির দরজাটিতে অন্যান্য লোকের কাছে যে ধরণের তালা জেনে রাখেন সেগুলি সম্পর্কে আপনার বাড়ির বিষয়ে জানার দরকার নেই? আমি আশা করি না। তারা সম্ভবত কিছু করবে না, তবে এটি এখনও বুদ্ধিমান নয়।

যদি আমরা ভাগ্য এবং উদারতা ছাড়াই ডেটা নীতিগুলি ভিত্তি করে থাকি তবে আমরা বেশ কয়েকবার প্রায়ই বড় সমস্যায় পড়ি। সুরক্ষা এমন একটি দিক যেখানে আপনাকে কেবল তখনই মঞ্জুরি দেওয়া উচিত যখন আপনি কেন মঞ্জুরি দিয়েছিলেন তা রক্ষা করতে পারেন। আপনি কেবল কারও জানা প্রয়োজনের চেয়ে আরও বেশি তথ্য দিচ্ছেন । এটা করবেন না। সার্ভারের অবস্থা এখনও সংবেদনশীল।

টমাস স্ট্রিংগার
সূত্র
1
কে বলছেন যে তারা এগুলি অযথা দেওয়া হচ্ছে? ওপিকে এটি নির্দিষ্ট কাউকে তদন্ত করার জন্য কাউকে মঞ্জুরি দেওয়ার প্রয়োজন হতে পারে (উদাহরণস্বরূপ দেখুন sys.dm_db_missing_index_details) এবং তারা এটি জানতে পারে যে ঠিক কী কী ঝুঁকি রয়েছে তা জানতে।
মার্টিন স্মিথ
আমার ধারণা আমি এই প্রশ্নের সাথে চিহ্নটি মিস করছি, আমি প্রশ্নের এমন কোনও কিছুই দেখতে পাচ্ছি না যা অনুমতিটির প্রয়োজনীয়তা নির্দেশ করে।
টমাস স্ট্রিংগার
4
@ থমাসস্ট্রিঞ্জার: প্রশ্নটি প্রয়োজনীয়তার বিষয়ে নয় , এটি ঝুঁকি নিয়ে । এটিকে আর্থিক পদে রাখার জন্য, আপনি জানেন যে এটি আপনার সার্ভারগুলিতে কী কী অতিরিক্ত ঝুঁকির মুখোমুখি হবে এবং তাই কোনও পয়সা না বলে এবং দশ মিলিয়ন ডলারে বলতে সক্ষম হবে be আমি না, কিন্তু আমি চাই।
jmoreno
আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.