কোনও অ্যাপ্লিকেশন কেন সা অ্যাকাউন্ট ব্যবহার করা উচিত নয়


21

আমার প্রথম প্রশ্ন, দয়া করে নম্র হন। আমি বুঝতে পারি যে SA অ্যাকাউন্টটি একটি এসকিউএল সার্ভার এবং সমস্ত ডাটাবেস, ব্যবহারকারী, অনুমতি ইত্যাদির উপর সম্পূর্ণ নিয়ন্ত্রণ সক্ষম করে ables

আমার একটি সম্পূর্ণ বিশ্বাস আছে যে অ্যাপ্লিকেশনগুলিকে কোনও নিখুঁত, ব্যবসায়িক ব্যক্তির কেন কারণ যুক্ত কারণ ছাড়া সা পাসওয়ার্ড ব্যবহার করা উচিত নয়। এই প্রশ্নের উত্তরগুলিতে আইটি কেন্দ্রিক আলোচনার জন্য আমার অনেক যুক্তি অন্তর্ভুক্ত

আমাকে নতুন পরিষেবা পরিষেবা ব্যবস্থা গ্রহণ করতে বাধ্য করা হচ্ছে যা সা পাসওয়ার্ড ব্যবহার না করা হলে কাজ করবে না। মূল্যায়ন সেটআপ করার সময় আমার কখনই কাজ করার সময় ছিল না তবে সার্ভার দলটি db_creater এবং অন্যান্য অনুমতিগুলি অন্তর্ভুক্ত করে আমি স্থির ভূমিকাটি ব্যবহার করার জন্য এটি ইনস্টল করার চেষ্টা করেছি I যা ব্যর্থ হয়েছিল। আমি তারপরে সার্ভার টিমটিকে সা অ্যাকাউন্ট দিয়ে ইনস্টল করতে দিয়েছি তবে এটির ডেটাবেসের জন্য ডিবিও ভূমিকাতে একটি অ্যাকাউন্টের অধীনে চালানো কিন্তু সেটিও ব্যর্থ হয়েছিল। গুরুতরভাবে আমি সিসাদমিন চরিত্রে এটি একটি অ্যাকাউন্ট চালানোর চেষ্টা করেছি তবে তা ব্যর্থ হয়েছে এবং দরকারী ত্রুটি বার্তাগুলির সাহায্যে নয় যা আমাকে উপলব্ধির চেয়ে বেশি সময় ব্যয় না করে যা চলছে তা কার্যকর করতে সক্ষম করে দিয়েছিল। এটি কেবলমাত্র সা অ্যাকাউন্ট এবং কনফিগার ফাইলে পরিষ্কার পাঠ্যে থাকা পাসওয়ার্ডের সাথে কাজ করবে।

যখন আমি এটি জিজ্ঞাসা করেছি এবং সার্ভার দলটি বিক্রেতার সাথে কথা বললে তারা 'এতে সমস্যা কী?' এর উদ্বেগজনক উত্তর পেয়েছে? এবং তারপরে 'ভালভাবে আমরা পাসওয়ার্ড স্ক্র্যাম্বলিংয়ে দেখতে পারি' স্ক্র্যাম্বলিং এফএফএস

আমি জানি যে ফাইলে অ্যাক্সেস সীমাবদ্ধ করার উপায় এবং উপায় আছে তবে এটি আমার মতে সুরক্ষার ক্ষেত্রে অন্য একটি দুর্বলতা

যাইহোক, আমার প্রশ্ন হ'ল কেউ কি কোনও ডকুমেন্টেশনে আমাকে ইঙ্গিত করতে পারে যা আমি ব্যবসাকে বোঝাতে এই খারাপ জিনিসটির কারণ হিসাবে ব্যাখ্যা করতে পারি এবং এটি বড় হওয়া উচিত। আমি এমন একটি ক্ষেত্রে কাজ করি যার অর্থ হল যে আমাকে সুরক্ষাকে গুরুত্ব সহকারে নেওয়া উচিত এবং ব্যবসাকে বোঝার জন্য সংগ্রাম করে যাচ্ছি এবং শেষ পর্যন্ত যেভাবেই হোক বাইরে স্থান পেতে পারে তবে আমার চেষ্টা করা দরকার।


1
saবা sysadminউইন্ডোজ লগইন সহ কোনও সদস্য ?
রিমাস রুসানু

সা এবং কেবলমাত্র :-(
এসকিউএলডিবিএ উইথ এ্যাবার্ড

1
আপনার বিক্রেতার কাছ থেকে আরও তথ্য নেওয়া দরকার। বিশেষত তারা কী করছে যেগুলি saস্পষ্টভাবে প্রয়োজন ।
অ্যারন বারট্র্যান্ড

11
প্রায়শই যখন কোনও বিক্রেতা বলেন যে তাদের সা হিসাবে স্পষ্টভাবে লগইন করা দরকার এটির অর্থ তারা তাদের অ্যাপ্লিকেশন অন্য কোনওভাবে পরীক্ষা করেনি (বা একবার করেছিলেন এবং এটি একটি ত্রুটিযুক্ত হয়ে পড়েছিল যা সিদ্ধান্ত নেওয়ার আগে তারা ততক্ষণ করেন নি "আমরা কেবল আটকে থাকব" সহ সা "), যা এমন কিছু নয় যা আমাকে আত্মবিশ্বাসের সাথে পূরণ করবে। যদিও এই ক্রেতাকে সরাসরি বিক্রেতার সাথে নিবেন না, আরও কূটনৈতিকভাবে অনুসন্ধান করলে আরও ভাল ফলাফল পাওয়া যাবে!
ডেভিড স্পিললেট

ডেভিডের এটি সঠিকভাবে রয়েছে আমি বিক্রেতার সাথে আমার সংক্ষিপ্ত আচরণ থেকে বিশ্বাস করি
এসকিউএলডিবিএবিথবিয়ার্ড

উত্তর:


21

এটি আপনার ব্যবসায়ের উপর নির্ভর করে তবে বেশিরভাগ ক্ষেত্রে প্রধান বিষয় হ'ল এটি কোনও আইটি সমস্যা হিসাবে দেখা যায় না তা নিশ্চিত করা make এটি একটি সুরক্ষা ইস্যু এবং যখন দুটি ওভারল্যাপ ব্যাপকভাবে ব্যবসায়িক পিল শোনার সম্ভাবনা বেশি থাকে তবে আপনি যদি "সাধারণ আইটি স্টাফ সম্পর্কে শোক করছেন" তার চেয়ে আপনি "সুরক্ষা" বলে থাকেন।

আপনি সুরক্ষা প্রয়োজনীয়তা আছে যে কোনও ক্লায়েন্ট সঙ্গে কাজ করবেন? এটি শুরু করার জন্য ভাল জায়গা। যদি আমরা কোনও স্তরের অ্যাক্সেস সহ কোনও অ্যাপ্লিকেশন চালিত করি, বা কেবল অ্যাপ্লিকেশন যা প্রাইলেজড অ্যাক্সেস না ব্যবহার করা সত্ত্বেও এর শংসাপত্রগুলি যথাযথভাবে সুরক্ষিত করে না (আমরা উইন্ডোজ ইন্টিগ্রেটেডের চেয়ে দৃ user়ভাবে পছন্দ করি যেখানে সম্ভব সেখানে সঞ্চিত ব্যবহারকারী / পাসের পরিবর্তে), এবং আমরা কোনও সুরক্ষার अधीनमा ছিলাম নিরীক্ষণ, এই নিরীক্ষণ ব্যর্থ হবে এবং আমরা গ্রাহকদের হারাতে এবং / অথবা আমাদের গ্রুপের ক্লায়েন্টদের হিসাবে টাকা ফেরত দেওয়ার ঝুঁকি নেব (আমি যে পণ্যটির উপর কাজ করি সে ক্ষেত্রে ব্যাংকিং সংস্থাগুলি, গ্রুপের অন্যান্য অংশগুলি পুলিশ এবং স্বাস্থ্যের সাথে ডিল করে কর্তৃপক্ষ এবং আরও এগিয়ে) সুরক্ষা আমাদের অফারটি উদ্দেশ্যটির জন্য উপযুক্ত হওয়ার অংশ being ব্যবসায়িক মানুষ হবে যে সম্ভাবনাময় হুমকি তীব্রতা বুঝতে এমনকি যদি তারা সাধারণত আইটি সুপারিশগুলি ঠোঁট সেবা বেশী পরিশোধ।

এমনকি ক্লায়েন্ট আরোপিত প্রয়োজনীয়তাগুলি উপেক্ষা করেও যদি আপনি বিভিন্ন শিল্পের মানক সুরক্ষা মানগুলি পূরণ করার চেষ্টা করেন তবে আবার এই ধরণের অ্যাপ্লিকেশন প্রমাণীকরণ আপনাকে নিরীক্ষণের মুখোমুখি করতে ব্যর্থ হতে চলেছে কারণ এটি সর্বোত্তম অনুশীলন থেকে এতদূর সাধারণ হিসাবে বিবেচিত কিছু হতে পারে "কেবল করা উচিত নয়" তালিকায়। আপনার ব্যবসায়িক স্বচ্ছলতা নির্মাতাদের কাছে পরিষ্কার করুন যে সুরক্ষা আবেদনের একটি গুরুত্বপূর্ণ অঙ্গ, এবং এই বিক্রেতা যে (বা কমপক্ষে যথাযথভাবে উদ্বিগ্ন) সম্পর্কে সচেতন বলে মনে হয় না এবং তারা কী করতে পারে না সে সম্পর্কে আপনার সন্দেহ রয়েছে makes মোকাবেলা: ডিবি সুরক্ষা সম্পর্কে সেরা অনুশীলন সম্পর্কে জেনে রাখা তাদের কাজের একটি অংশ (ভাল হওয়া উচিত) এটি নকল নয় difficult

আরও উল্লেখ করুন যে আপনার (ক্রেতা) বিক্রেতার কাছে যুক্তিসঙ্গত সুরক্ষা প্রয়োজনীয়তাগুলি বোঝানো উচিত, অন্যভাবে নয় not এটি আপনার ডেটা, সুতরাং যা যথেষ্ট পরিমাণে সুরক্ষিত বলে মনে করা যায় তারা তা বলার যোগ্য নয়।


হা। মন্তব্যটি কীভাবে লিখুন তা মন্তব্য করা যুক্তিযুক্ত নয় এটি নিরাপদ যে আমি যেখানে কাজ করি সেখানে সমস্ত ধরণের সুরক্ষা একটি উল্লেখযোগ্য উদ্বেগ, আপনি যদি চান তবে এটিকে পুলিশ হিসাবে বিবেচনা করুন। তবে সিদ্ধান্ত গ্রহণকারীরা সা কে উদ্বেগ হিসাবে দেখছেন না। নিরীক্ষা শুরু করার জন্য ভাল জায়গা এবং আমি আরও তদন্ত করব।
এসকিউএলডিবিএ উইথবায়ার্ড

+1 আমি বিশেষত মন্তব্যটি পছন্দ করেছি যে এটি কোনও সুরক্ষা সমস্যা নয় এটি ইস্যু নয়।
কেনেথ ফিশার

2
আমি একগুচ্ছ ছেলেদের কাছ থেকে কিছু কিনতে কিনতে দ্বিধা বোধ করব যাঁরা সরল পাঠ্যে একটি কনফিগারেশন ফাইলটিতে বসে কিংডমের চাবিগুলি ছেড়ে দেওয়া ঠিক মনে করেন। আমি জানি এটি আপনার আহ্বান নয়, তবে আপনি কী সিদ্ধান্ত নিতে পারেন যে এটি কী ভয়াবহ ধারণা এবং বিক্রেতার সম্পর্কে এটি কী বলে, এটি আপনার ক্ষেত্রে সহায়তা করতে পারে।
mdoyle

মোডোয়েল - সমস্যাটি যেমন আমি এটি সম্পর্কে আরও শিখি তা হ'ল সিদ্ধান্তদাতারা £ চিহ্নগুলিতে জিনিসগুলি দেখেন এবং এটি প্রাচীন সংস্করণ থেকে এটি আপগ্রেড হওয়ায় এটি সস্তা। আমি মনে করি আমি এখানকার ভাল লোকদের ধন্যবাদ জানাতে কিছুটা যুদ্ধ জিততেছি। আমি বর্তমানে ওয়েব সার্ভার অংশটির পরীক্ষার জন্য কমপক্ষে
বিলম্ব করেছি

20

কোনও অ্যাপ্লিকেশনটিতে এসএ অ্যাক্সেস থাকা দরকার - কখনও না। (যদি না এর একমাত্র উদ্দেশ্য এক প্রকারের ডাটাবেস প্রশাসন না থাকে))

ব্যবসায়ের যে লগইন হওয়া দরকার তার তুলনায় কোনও লগইন (অ্যাপ্লিকেশন- বা ব্যক্তিগত-) এর চেয়ে বেশি অধিকার কখনই না দেওয়া একটি সাধারণ নিয়ম।

কোনও অ্যাপ্লিকেশন সম্পূর্ণ সুরক্ষিত নয়। বেশিরভাগের মধ্যে এক ধরণের এসকিউএল ইঞ্জেকশন বা এক্সএসএস দুর্বলতা রয়েছে। যদি কোনও অনুপ্রবেশকারী তার / তার পছন্দসইয়ের একটি বিবৃতি কার্যকর করতে এবং 'এসএ' অ্যাক্সেস পেয়ে থাকে তবে এমন অনেকগুলি বিষয় রয়েছে যা আপনার ডেটাতে ঘটতে পারে যা তাত্ক্ষণিকভাবে ব্যবসায়টিকে হত্যা করতে পারে। (বিশেষত যদি ডেটা বিশ্বাসের প্রয়োজন হয় কারণ এটি আইন প্রয়োগকারীরা ব্যবহার করে)) অংশীদারদের তাদের কী করতে হবে তা জিজ্ঞাসা করুন, যদি কেউ ইচ্ছাকৃতভাবে একটি রেকর্ডও পরিবর্তন করতে সক্ষম হয় এবং সেই তথ্য ফাঁস হয়ে যায়।

এখন, 'এসএ' অ্যাক্সেসের সাহায্যে কেবলমাত্র অ্যাপ্লিকেশনটির ডাটাবেসই পরিবর্তন করা যাবে না পাশাপাশি সিস্টেমের প্রতিটি ডাটাবেসও পরিবর্তিত হতে পারে। সুতরাং, আপনার স্টেকহোল্ডারদের জিজ্ঞাসা করুন যে আপনি যদি আপনার সমস্ত ডেটাবেসগুলির একটি অনুলিপি তৈরি করেন এবং এটি সংবাদপত্রে প্রেরণ করেন তবে তারা কী করবে। কারণ যদি কোনও অসন্তুষ্ট কর্মচারী এই সুরক্ষা গর্তটির অস্তিত্ব খুঁজে পায় তবে তা ঘটতে পারে।

বিক্রেতা জানিয়েছেন তারা পাসওয়ার্ড স্ক্র্যাম্ব করতে পারে। তা বিএস। অ্যাপ্লিকেশনটির পাসওয়ার্ডটি ব্যবহারের জন্য ক্লিয়ারটেক্সটে অ্যাক্সেস করা দরকার, সুতরাং পাসওয়ার্ডটি আনস্র্যাম্বল করার কীটি তার ঠিক পাশেই নিরবচ্ছিন্নভাবে সংরক্ষণ করা হবে। এছাড়াও, যেমনটি পূর্বে উল্লেখ করা হয়েছে, আসল সমস্যাটি কেউ এই পাসওয়ার্ডটি খুঁজে পাচ্ছে না; এটি হ'ল লোকেরা (ভুল) দুর্বলতার মধ্য দিয়ে এই সিস্টেমটি ব্যবহার করে কখনও পাসওয়ার্ড না দেখে আপনার সমস্ত ডেটাবেজে সম্পূর্ণ অ্যাক্সেস পাবেন।

এসএর প্রয়োজনীয়তার সর্বাধিক সম্ভাব্য কারণটি হ'ল অ্যাপ্লিকেশনটির এসকিউএল এজেন্টের সাথে যোগাযোগ করা দরকার। কমপক্ষে এটি সঠিক প্রয়োগের জন্য অন্যতম শক্ত কাজ এবং বেশিরভাগ লোকেরা এর চারপাশে যাওয়ার জন্য "এসএ ব্যবহার করুন" রুটটি গ্রহণ করে। 'এসএ' এর নিজের প্রয়োজন বিক্রেতাকে কীভাবে সিসাদমিন অনুমতিগুলি পরীক্ষা করতে হয় তা না জানার কারণে হতে পারে।

দুটি সমাধান রয়েছে যা আপনি চেষ্টা করতে পারেন:

  1. এসএ (যেকোনো সুরক্ষার সেরা অনুশীলন) এর নাম পরিবর্তন করুন এবং সীমাবদ্ধ অধিকার সহ 'এসএ' নামে একটি নতুন অ্যাকাউন্ট তৈরি করুন। (এটি কখনও চেষ্টা করেননি, তবে এটি কাজ করা উচিত)

  2. সফ্টওয়্যার ইনস্টল করবেন না। একজন অধ্যাপক হিসাবে আপনি এই ক্রিয়াকলাপের দায়ভার বহন করতে পারবেন না, সুতরাং আপনার এটি ইনস্টল করা উচিত নয়। আপনাকে তুলনা করার জন্য, কোনও পাইপ / অর্থ সাশ্রয়ের জন্য প্লাম্বারটিকে আশেপাশের পরিবর্তে অগ্নিকুণ্ডের সাহায্যে সরাসরি গ্যাস লাইন চালাতে বলুন। আপনি এই চিত্রটি দেখে হাসতে পারেন, তবে আমি বিশ্বাস করি এটি একটি উপযুক্ত তুলনা - এই সফ্টওয়্যারটি খুব শীঘ্রই বা খুব শীঘ্রই ফুরিয়ে যাবে। এবং এটি যখন এটি ব্যবসাও নিচে নেমে যেতে পারে।

যদি এই সমস্তটি এই সফ্টওয়্যারটির প্রয়োজনীয়তা থেকে "তাদের" থামায় না, তবে আমি আপনাকে যে সর্বশেষ প্রস্তাব দিতে পারি তা চালানো। যদি ডেটাতে কিছু ঘটে তবে আপনি প্রথমে দায়বদ্ধ হয়ে যাবেন। সুতরাং, এই অ্যাপ্লিকেশনটির জায়গায় আপনার সম্ভবত কোনও কাজের সুরক্ষা নেই, সুতরাং এমন কোনও নিয়োগকারীকে সন্ধান করুন যা আপনাকে কমপক্ষে কিছু দেয়।


4
কেবলমাত্র "অগ্নিকুণ্ডের মাধ্যমে সরাসরি গ্যাস লাইন" সিমিলের জন্য +1
ypercubeᵀᴹ

এসকিউএল সার্ভারে সা অ্যাকাউন্টটির নাম পরিবর্তন করা যায় না। এটি অবশ্য অক্ষম হতে পারে।
গ্রিনস্টোন ওয়াকার

1
@GreenstoneWalker: নিশ্চিত এটি করতে পারে: alter login sa with name = [as];
রিমাস রুসানু

রিমাস, এটি এসএসএমএসের উপর নির্ভর করার জন্য এবং পুরানো জ্ঞানের উপর নির্ভর করার জন্য আমাকে সঠিকভাবে পরিবেশন করবে। এসকিউএল সার্ভার 2005 এর আগে এটির নামকরণ করা যায়নি। এসএসএমএস সা লগইনটির নতুন নামকরণ করতে সক্ষম হবে বলে মনে হয় না তবে আপনার পোস্ট করা টি-এসকিউএল হুবহু সঠিক।
গ্রিনস্টোন ওয়াকার

12

আমি এটি আক্রমণ দুটি লাইন দেখতে।

  • সম্মতি । আপনার দোকানে কার্যকর বাধ্যবাধকতার কোনও মানদণ্ড রয়েছে কি? এর শব্দাবলীর মাধ্যমে সাবধানতার সাথে অনুসন্ধান করুন এবং দেখুন যে আপনি অ্যাপ্লিকেশন 'প্রয়োজনীয়তা' এর সাথে সামঞ্জস্যপূর্ণ নয় এমন কোনও কিছু খুঁজে পান কিনা। যদি আপনি এমন কোনও saঅ্যাপ্লিকেশন ব্যবহারের প্রতিরোধ করে যা আপনার কাছে বুলেট প্রুফ ওয়াটার টাইট কেস থাকে, কারণ অ্যাপ্লিকেশনটি আপনার ব্যবসায়কে দায়বদ্ধ করবে ইত্যাদি etc.

  • ব্যবহারকারী অ্যাডমিন অ্যাক্সেস । নিশ্চিত হয়ে নিন যে আপনি যে অ্যাপ্লিকেশনটির saকার্যকরভাবে অ্যাক্সেসের প্রয়োজন রয়েছে সেই অ্যাপ্লিকেশনটি এমন saসমস্ত কর্পোরেট ব্যবহারকারীদের অ্যাক্সেস দেয় যা অ্যাপ্লিকেশন ইনস্টলড ওয়ার্কস্টেশনে প্রশাসনের অধিকার রয়েছে। saস্থানীয় অ্যাডমিনদের কাছ থেকে পাসওয়ার্ডটি লুকানোর কোনও উপায় নেই যেখানে অ্যাপ্লিকেশনটি চালিত হয়, এটি একটি সত্য এবং 'স্ক্র্যাম্বলিং' পরিমাণে এটি প্রতিরোধ করতে পারে না। স্থানীয় প্রশাসক যদি চান তবে সেটির আস্থা অর্জনের কোনও স্থানীয় মূল নেই। এটি স্পষ্ট করে দিন যে একটি অ্যাপ্লিকেশন থাকা দরকার যা অ্যাপ্লিকেশন চালিয়ে যাওয়া সমস্ত ব্যবহারকারীকে saপ্রাইভেটেড দেওয়ার সমান হয় sa। এর অর্থ কী, ব্যবহারকারীরা কার্যকরভাবে কী করতে পারে তা ব্যাখ্যা করুন:

    • সার্ভারে যে কোনও ডেটা পড়ার ক্ষমতা কেবল এই অ্যাপ্লিকেশন থেকে নয় তবে সেই সার্ভারে হোস্ট করা অন্য কোনও ডাটাবেস থেকেও
    • আবার একই সার্ভারের অন্য কোনও ডাটাবেস থেকে সার্ভারে থাকা কোনও ডেটা পরিবর্তন করার ক্ষমতা ability
    • কোনও পরিবর্তন হওয়ার পরে তার ক্রিয়াগুলির কোনও চিহ্ন মুছে ফেলার ক্ষমতা
    • কোনও নিরীক্ষা এবং ইতিহাসের পরিবর্তন করার ক্ষমতা যাতে এটি প্রদর্শিত হয় যে কিছু নির্দিষ্ট কর্ম কোনও অন্য ব্যবহারকারীর দ্বারা করা হয়েছিল
    • এই সার্ভারটি বিশ্বাস করে এমন অন্য কোনও সংস্থার উপর আক্রমণ বাড়ানোর জন্য এসকিউএল সার্ভার শংসাপত্রগুলি ব্যবহার করার ক্ষমতা । এটি কোনও অন্য এসকিউএল সার্ভারের পাশাপাশি অন্য সংস্থানগুলিকেও বোঝাতে পারে, ফাইল শেয়ার, এক্সচেঞ্জ সার্ভার ইত্যাদির সাথে সীমাবদ্ধ নয় তবে এসকিউএল সার্ভারকে কেবল একটি পদক্ষেপ হিসাবে ব্যবহার করা যেতে পারে।

সিদ্ধান্ত গ্রহণকারীদের কাছে পরিষ্কার করে দিন যে এই আবেদনটি গ্রহণের অর্থ প্রতিটি কর্মচারীর উপর নির্ভর করে উপরে বর্ণিত সমস্ত সুযোগ-সুবিধা সহ অ্যাপ্লিকেশনটি চালিত ওয়ার্কস্টেশনগুলিতে প্রশাসক অ্যাক্সেস রয়েছে । বিক্রেতা কোনও ধরণের বা saঅ্যাপ্লিকেশনটির জন্য পাসওয়ার্ডটি 'এনক্রিপ্ট' করে অন্য কোনও মাধ্যমে অনুরোধ করে তার অবস্থান রক্ষার চেষ্টা করবে । এটি জল ধরে না। কোনও এনক্রিপশন স্কিম নেই যা প্রশাসকের আক্রমণ থেকে বাধা দিতে পারে। এবং এটি পরিষ্কার করুন যে স্থানীয়ভাবে 'লুকানো' পাসওয়ার্ড খুঁজতে প্রয়োজনীয় প্রযুক্তিগত দক্ষতার পরিমাণটি সম্পূর্ণ অপ্রাসঙ্গিক। কর্মচারীরা এটি নিজেই করছে না, তাদের মধ্যে একটি তার জন্য গুগল করবে এবং এটি সহজে ব্যবহারযোগ্য স্ক্রিপ্টটি আবিষ্কার করবে।


ধন্যবাদ রেমাস এটি আমার কাছে প্রয়োজনীয় উত্তরটি ছিল। আমি আস্তে আস্তে যুদ্ধটি জিতে যাচ্ছি এবং এটি সবই সহায়তা করছে
এসকিউএলডিবিএবিথবিয়ার্ড

7

প্রথমত, পাসওয়ার্ডটি সংরক্ষণ করে প্লেইন টেক্সট? আপনার মানিব্যাগটি দিয়ে ভোট দেওয়া উচিত। যে এটি গ্রহণযোগ্য মনে করে তাকে ব্যবসায়ের বাইরে ফেলে দেওয়া দরকার।

এখানে একটি অ্যানোলজি যা আপনাকে সমস্যাটি ব্যাখ্যা করতে সহায়তা করতে পারে: কর্মচারী এলিসের প্রথম তলায় অ্যাক্সেসের প্রয়োজন। আপনি কি তাকে পুরো বিল্ডিংয়ের মাস্টার কী বা প্রথম তলের কেবল চাবি দিচ্ছেন? উত্তর: আপনি তাকে প্রথম তলায় কেবল চাবি দিন। কেন? কারণ এটি দুর্ঘটনাজনিত বা ইচ্ছাকৃত ক্ষতির সম্ভাবনা হ্রাস করে। অ্যালিস যদি প্রথম তলায় দ্বিতীয় তলার সার্ভার রুমে না যেতে পারে তবে সে সেখানে কোনও খারাপ কাজ করবে না।

এটি হ'ল ন্যূনতম সুযোগ-সুবিধার মূলনীতি।

অ্যাপ্লিকেশনটির কেন সা অ্যাকাউন্ট ব্যবহার করা দরকার, এটি এমন একটি প্রশ্ন যা পারফমন বা বর্ধিত ইভেন্টগুলির উত্তর দিতে সক্ষম হওয়া উচিত। টি-এসকিউএল টেমপ্লেট ব্যবহার করে একটি পারফরমন ট্রেস তৈরি করুন, সম্ভবত অ্যাপ্লিকেশন নামে ফিল্টার করা।

আমার মাথার উপরে, সা ব্যবহারের বিরুদ্ধে এখানে আরও একটি যুক্তি রয়েছে: সা অ্যাকাউন্ট ব্যবহার করার জন্য এসকিউএল সার্ভার পরিষেবাটি মিশ্র প্রমাণীকরণ মোডে থাকা প্রয়োজন। উইন্ডোজ কেবলমাত্র প্রমাণীকরণই ভাল কারণ আমরা কার্বেরোসের সমস্ত সুরক্ষিত বৈশিষ্ট্য উপকার করতে পারি।


4

প্রযুক্তিগত দৃষ্টিকোণ থেকে কোনও কারণের জন্য এসএ অনুমতির প্রয়োজন নেই এমন কোনও কারণ নেই। সম্ভবত যা ঘটেছে তা হ'ল অ্যাপ্লিকেশনটির বিকাশকারীরা সম্ভবত তাদের লগইনটিতে সিসাদমিন অনুমতি রয়েছে কিনা তা পরীক্ষা করে দেখুন এবং তা না হলে এটি কেবল একটি ত্রুটি বার্তা ছুড়ে দেয়। এইভাবে তারা দাবি করতে পারে যে অ্যাপ্লিকেশনটির এসএ অধিকার প্রয়োজন requires

আপনার যদি এই অ্যাপ্লিকেশনটি থাকতে হয় তবে আমি এটি একটি পৃথক ইভেন্টে চালিত করব যাতে এতে অন্য কিছু নেই।


আমি মনে করি এটি সম্ভবত এটি স হিসাবে চলছে কিনা তা পরীক্ষা করে ব্যর্থ হয় কারণ এটি
স্যাসাদমিনের

1
তারপরে এটি অনেকটা নির্দিষ্ট ইউজারিড যাচাই করা উচিত। প্রতিক্রিয়া হ'ল তারা বিকাশকারীরা এটি করছে কারণ এটি সা এর সাথে কাজ করে এবং তারা আসলে কী অনুমতিগুলি প্রয়োজন তা দেখার জন্য তারা বিরক্ত করতে চায় না, তাই অন্যান্য ত্রুটিগুলি রোধ করার এটি সহজতম উপায়। এটি সম্পূর্ণরূপে কৃপণ পদ্ধতির এবং বিক্রেতাকে এটি করার জন্য চারপাশে আঘাত করা উচিত।
mrdenny

4

সম্ভবত আপনার বিক্রেতা অনুরোধ করছেন / "সা" এর জন্য প্রয়োজনীয় কারণ তাদের অ্যাপ্লিকেশনটিতে কোথাও তারা XP_CMDSHELL ব্যবহার করছেন। (এক্সপি_সিএমডিএসএইচডিএসএলটিতে সীমাহীন অ্যাক্সেসের মাধ্যমে আমাকে যে ক্ষতির সম্ভাবনা রয়েছে সে সম্পর্কে আমাকে আরম্ভ করবেন না it এটি যথেষ্ট বলার অপেক্ষা রাখে না যে এটি কেবল আপনার ডেটা নয় হোস্ট মেশিন এবং সম্ভবত আপনার প্রশাসনের মতো অ্যাডমিনের মতো আপনার নেটওয়ার্কে অন্য কোনও কিছু খুলে দেয়)

যদি কোনও আইনী প্রয়োজন হয় তবে আপনি প্রক্সি অ্যাকাউন্টের মাধ্যমে সীমাবদ্ধ অ্যাক্সেস দিতে পারেন। উদাহরণস্বরূপ, বিওএল দেখুন: http://msdn.microsoft.com/en-us/library/ms175046.aspx


4

কোনও অ্যাপ্লিকেশন অপারেট করার জন্য এসএ অ্যাকাউন্ট এবং পাসওয়ার্ড প্রয়োজন হবে না।

তবে, আমি একটি আইটি সার্ভিস ম্যানেজমেন্ট পণ্য ইনস্টল করেছি এবং ইনস্টলেশন প্রক্রিয়া চলাকালীন আপনার কাছে এসএ অ্যাকাউন্ট শংসাপত্র সরবরাহ করার বিকল্প রয়েছে যাতে ইনস্টলারের ডিবি তৈরি করতে দেয় এবং সফ্টওয়্যারটি ব্যবহারের জন্য ডিবিতে একটি অ্যাকাউন্ট সংযুক্ত করতে পারে। এসএ অ্যাকাউন্ট শংসাপত্রগুলি অ্যাপ্লিকেশন বা ইনস্টলার লগগুলিতে কোথাও সংরক্ষিত হয় না। এই সফ্টওয়্যারটি ইনস্টলেশনের সময় প্রাক-তৈরি ডাটাবেস ব্যবহারের বিকল্পও সরবরাহ করে।

সুতরাং আমি কেবল এসএ অ্যাকাউন্টটি এই আইটি সার্ভিস ম্যানেজমেন্ট সফ্টওয়্যারটির ইনস্টলেশন, বা অপারেশনটির জন্য প্রয়োজনীয় কিনা তা নিশ্চিত করব।

যদি ইনস্টলেশন: একটি অস্থায়ী 'সা' অ্যাকাউন্ট তৈরি করুন - ইনস্টল করুন - এবং অ্যাকাউন্টটি সরান।

যদি অপারেশন: প্লেগের মতো সেই সফ্টওয়্যারটি এড়িয়ে চলুন। (বা একটি স্ট্যান্ডেলোন এসকিউএল সার্ভার সেটআপ করুন যা কেবলমাত্র সেই একটি ডাটাবেস রাখবে))


ডেডিকেটেড এসকিউএল সার্ভারের জন্য +1। এটি সত্যিকারের সার্ভারে sa প্রদানের জন্য একটি ভাল শেষ অবলম্বন বিকল্প হবে।
ড্যান

0

সরবরাহিত কোনও ডিফল্ট এসকিউএল সার্ভার সিস্টেম সুরক্ষা পরামিতি পরিবর্তন করতে হবে। প্রমাণীকরণের জন্য মিশ্র মোড (উভয় উইন্ডোজ এবং এসকিউএল সার্ভার প্রমাণীকরণ সক্ষম করে) ব্যবহার না করার প্রস্তাব দেওয়া হচ্ছে recommended পরিবর্তে, শুধুমাত্র উইন্ডোজ প্রমাণীকরণে স্যুইচ করুন - এটি উইন্ডোজ পাসওয়ার্ড নীতি কার্যকর করবে - পাসওয়ার্ডের দৈর্ঘ্য, জীবনকাল এবং ইতিহাস পরীক্ষা করে। উইন্ডোজ পাসওয়ার্ড নীতিটির বৈশিষ্ট্য যা এটি এসকিউএল সার্ভার প্রমাণীকরণ থেকে আলাদা করে তোলে তা হ'ল লগইন লকআউট - একাধিক ক্রম ব্যর্থ লগনের চেষ্টার পরে লগইন লক হয়ে যায় এবং আরও ব্যবহারের জন্য অকেজো হয়ে যায়

অন্যদিকে, এসকিউএল সার্ভার প্রমাণীকরণ ব্রেট-ফোর্স আক্রমণ প্রচেষ্টা সনাক্ত করার জন্য কোনও পদ্ধতি সরবরাহ করে না এবং সবচেয়ে খারাপ এটি, এসকিউএল সার্ভার এমনকি প্রচুর সংখ্যক দ্রুত লগইন প্রচেষ্টা পরিচালনা করার জন্য অনুকূলিত হয়েছে। সুতরাং, যদি কোনও এসকিউএল সার্ভার প্রমাণীকরণ কোনও নির্দিষ্ট এসকিউএল সার্ভার সিস্টেমে আবশ্যক হয় তবে এসএ লগইনটি অক্ষম করার জন্য এটি সুপারিশ করা হয়


1
এটি কি কোনও দুর্ঘটনা বা উদ্দেশ্যমূলক ছিল - একই প্রশ্নের সঠিক উত্তর দিয়ে 2 টি প্রশ্নের উত্তর দেওয়া?
ypercubeᵀᴹ

মন্তব্য করার জন্য আপনাকে ধন্যবাদ. কেবল ভেবেছি যে ব্যাখ্যাটি উভয় ক্ষেত্রেই সহায়তা করতে পারে।
ইভান স্টানকোভিচ

আকর্ষণীয়, তবে ওপিতে বিশেষভাবে সহায়ক নয়।
ড্যান
আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.