এসএ অ্যাকাউন্ট এবং অন্যান্য জ্ঞাত অ্যাকাউন্টের নাম সুরক্ষার জন্য কী সুরক্ষা হুমকী দেয়?

10

সা, এর মতো পরিচিত অ্যাকাউন্টের নামটি কি ডেটাবেসের জন্য সুরক্ষা হুমকির সম্মুখীন? এসকিউএল সার্ভারে উইন্ডোজ প্রমাণীকরণ ব্যবহার করার সময় কি এটি একই পাসওয়ার্ড নীতি চাপায় (যদি এটি 5 বারের পরে অ্যাকাউন্ট লকআউট বলার জন্য সেট করা থাকে)?

sql-server  security 
Sevki
সূত্র
আপনি আপনার প্রশ্ন উন্নতি করতে পারেন? 1) শিরোনাম একটি প্রশ্ন করুন। 2) আপনি কি প্রশ্নের ক্ষেত্রটি সঙ্কুচিত করতে পারেন? আপনি কি নিষ্ঠুর-জোর করে আক্রমণ, বা পরিচিত অ্যাকাউন্টগুলির দুর্বলতা সম্পর্কে আগ্রহী? আপনি কোন ক্ষেত্রের সুরক্ষায় আগ্রহী?
ব্রায়ান বলসুন-স্ট্যান্টন
আমি এই সম্পর্কে আরও একটি বই লিখেছি যা এটি লিখেছিল যা প্রায় এক মাসের মধ্যে প্রকাশিত হওয়া উচিত। বইটি কেনা উত্তরটির অংশ নয় বলে আমি এটি আলাদা করে রেখেছি। amazon.com/Securing-SQL-Server-Protecting-Attackers/dp/...
mrdenny
@ মেরডেনি আপনি বই থেকে কিছু দরকারী উদ্ধৃতি দিতে পারেন? এটি আপনার প্রশ্নের জবাব দিতে সহায়তা করতে পারে এবং উত্স হিসাবে এটি উদ্ধৃত করা বেশ গ্রহণযোগ্য :)
ব্রায়ান বলসুন-স্ট্যান্টন
@ ব্রায়ান আমাকে চুক্তি পরীক্ষা করে দেখতে হবে যে আমি এটি করতে পারি কিনা। আমাকে প্যারাফ্রেজ করতে হতে পারে তবে আমি কী করতে পারি তা দেখতে পাচ্ছি।
mrdenny

উত্তর:

11

সা, এর মতো পরিচিত অ্যাকাউন্টের নামটি কি ডেটাবেসের জন্য সুরক্ষা হুমকির সৃষ্টি করে?

পরিচিত নামযুক্ত একটি ""শ্বর" ব্যবহারকারীর অ্যাকাউন্টকে সাধারণত স্বল্প পরিচিত নামযুক্ত দেবতা ব্যবহারকারীর চেয়ে খারাপ ধারণা হিসাবে বিবেচনা করা হয়। এটি আক্রমণাত্মক আক্রমণটিকে সামান্য সহজ করে তোলে কারণ আক্রমণকারীকে কেবল পাসওয়ার্ডটি অনুমান করতে হয়, ব্যবহারকারীর নাম এবং পাসওয়ার্ডটি নয়।

এছাড়াও যে কোনও উপায়ে aশ্বরের ব্যবহারকারী থাকা বিপজ্জনক হতে পারে। তাদের সাধারণত যা করা দরকার তার নির্দিষ্ট সুনির্দিষ্ট ব্যবহারকারীদের থাকার থেকে আপনি সাধারণত ভাল। এই ধরণের বিশেষাধিকার ভিত্তিক সুরক্ষা আপনার পরিবেশে পরে পুনরায় প্রেরণের চেয়ে স্ক্র্যাচ থেকে কার্যকর করা সহজ।

এসএকিউএল সার্ভারে প্রয়োজন মতো সা নিষ্ক্রিয় করা এবং নির্দিষ্ট ব্যবহারকারীদের নির্দিষ্ট অ্যাডমিন অধিকার প্রদান করা লিনাক্স এবং অনুরূপ rootমাধ্যমে অ্যাডমিন অধিকারগুলি অক্ষম করা এবং হস্তান্তর করার sudoঅনুরূপ একই পরামর্শ। saপর্যাপ্ত সুযোগ-সুবিধাগুলির সাথে মেশিনে সরাসরি সংযুক্ত একবার আপনি যখনই কোনও সমস্যা হয়ে যায় এবং আপনি কোনও লিনাক্সে যেমন রুট অ্যাক্সেস ইঞ্জিনিয়ার করতে পারেন ঠিক তেমনই আপনার ব্যবহারকারীদের পরিচালিত হওয়া সমস্ত অধিকার (এবং সমস্যাটি সমাধান করা) শেষ করে দেওয়া আপনি সর্বদা পুনরায় সক্ষম করতে পারেন can বাক্সে যদি আপনার শারীরিক অ্যাক্সেস থাকে তবে বাক্সটি - অ্যাকাউন্টটি অক্ষম করা কোনও ম্যাজিক বুলেট নয় (তবে একবার কোনও আক্রমণকারী আপনার মেশিনে শারীরিক অ্যাক্সেস পান, বা আরডিসি বা এসএসএইচ এর মাধ্যমে সম্পূর্ণ প্রশাসনিক অ্যাক্সেস পেলে যাইহোক সমস্ত দাগ বন্ধ হয়ে যায়)।

এসকিউএল সার্ভারে উইন্ডোজ প্রমাণীকরণ ব্যবহার করার সময় কি এটি একই পাসওয়ার্ড নীতি চাপায় (যদি এটি 5 বারের পরে অ্যাকাউন্ট লকআউট বলার জন্য সেট করা থাকে)?

উইন্ডোজ ইন্টিগ্রেটেড অথেনটিকেশন ব্যবহার করার সময় অ্যাকাউন্ট লকআউট এবং এর উপর এসকিউএল সার্ভারের কোনও নিয়ন্ত্রণ থাকে না - এটি কেবল একটি উইন্ডোজ ব্যবহারকারীকে একটি এসকিউএল ব্যবহারকারীকে মানচিত্র করে এবং ব্যবহারকারীকে যথাযথ শংসাপত্র সরবরাহ করে তা নিশ্চিত করার জন্য ওএসকে অনুরোধ করে। ইন্টারেক্টিভ মানব ব্যবহারকারীদের জন্য এটির অর্থ কোনও লকআউট ঘটবে কারণ ব্যবহারকারীরা উইন্ডোজের সাথে প্রমাণীকরণের চেষ্টা করেছিলেন, এসকিউএল সার্ভারে লগ ইন না করেই not

ডেভিড স্পিললেট
সূত্র
4

এটি তৈরি করা কোনও খারাপ ধারণা নয় যাতে আপনার সিস্টেমে ডিফল্ট অ্যাডমিন ব্যবহারকারী (অ্যাডমিন / রুট / পোস্টগ্রিস / সা / ইত্যাদি) আসলে না থাকে। আপনি সর্বদা একটি আলাদা নামের অধীনে একটি সুবিধাযুক্ত অ্যাকাউন্ট তৈরি করতে পারেন।

যদি অন্য কিছু না হয়, আপনার সিস্টেমটি কাজে লাগানোর চেষ্টা করছে এমন লোকদের কাছে এমন এক সময়ের মতো সহজ সময় নেই যা তারা অন্ধ হয়ে কাজ করছে (যেমন, কিছু ইন্টারেক্টিভ শেল না দিয়ে বা তাদের কমান্ড থেকে সরাসরি আউটপুট দেখতে সক্ষম না হয়ে এসকিএল ইনজেকশন)

অ্যাকাউন্ট লকআউট হিসাবে - যদি কেউ আপনার মেশিনে লগ ইন করার চেষ্টা করতে সক্ষম হয়ে ওঠে তবে আপনি যদি ব্যবহারকারীদের সরাসরি লগইন না করেন তবে আপনি ইতিমধ্যে যুদ্ধটি হেরে গেছেন। ব্যক্তিগতভাবে, আমি বেশিরভাগ অংশের জন্য লকআউটগুলির পক্ষে নই, কারণ এটি যদি কাউকে আপনার ব্যবহারকারীর নাম জানাতে পরিচালিত হয় তবে পরিষেবা অস্বীকার করার সুযোগ দেয়। (এবং তাদের সুপার ইউজারটিকে লক আউট করা? মজা নয়)।

আমি সিআইএস বেঞ্চমার্কগুলি সন্ধান করার পরামর্শ দেব ... তাদের প্রতিটি ডাটাবেসের জন্য নেই, তবে ওরাकल, এমএস এসকিউএল, ডিবি 2 এবং মাইএসকিউএলের জন্য তাদের কাছে সুপারিশ রয়েছে। আপনি যদি অন্য কিছু চালাচ্ছেন তবে তাদের সুপারিশ করা সাধারণ ধরণের জিনিসগুলি দেখার পক্ষে এখনও এটি মূল্যবান।

জো
সূত্র
4

আমি অন্য কাউকে এটি উল্লেখ করতে দেখিনি তাই আমি এটি যুক্ত করব। এসকিউএল সার্ভার 2005+ এর সাথে যদি আপনার সার্ভারটি কোনও ডোমেনের অংশ হয় এবং ডোমেনটির একটি পাসওয়ার্ড নীতি থাকে তবে আপনি এসকিউএল লগইনে পাসওয়ার্ড নীতিটি প্রয়োগ করতে সক্ষম করতে পারেন। এটিতে পাসওয়ার্ড জটিলতার প্রয়োজনীয়তা এবং লগইনে পাসওয়ার্ড পরিবর্তনগুলিকে বাধ্য করার ক্ষমতা অন্তর্ভুক্ত।

নোট করুন যে এটি এসকিউএল 2005+ এর সাথে কাজ করার জন্য এবং আপডেট করা হয়নি এমন কিছু সফ্টওয়্যার ইনস্টলারগুলির সাথে সমস্যা তৈরি করতে পারে এবং নিরাপদ পাসওয়ার্ড সহ এসকিউএল লগইন তৈরি করে।

AndrewSQL
সূত্র
3

এসকিউএল সার্ভারে দুটি প্রমাণীকরণ মোড ব্যবহৃত হয়েছে: উইন্ডোজ প্রমাণীকরণ এবং মিশ্র মোড (উইন্ডোজ প্রমাণীকরণ এবং এসকিউএল সার্ভার প্রমাণীকরণ উভয়ই সক্ষম করে)

প্রথম মোডটি ব্রুট-ফোর্সের আক্রমণগুলির পক্ষে কম ঝুঁকিপূর্ণ কারণ আক্রমণকারী একটি সীমাবদ্ধ সংখ্যার আক্রমণের চেষ্টার পরে লগইন লকআউট (অ্যাকাউন্ট লকআউট নীতি বৈশিষ্ট্য) এ চালিত হতে পারে। প্রতিটি উত্পাদন পরিবেশ, যদি উইন্ডোজ প্রমাণীকরণ মোড ব্যবহার করে, লকআউট নীতি বৈশিষ্ট্যটি ব্যবহার করা উচিত, কারণ এটি ব্রুট-ফোর্স আক্রমণকে অসম্ভব করে তোলে

যখন এটি এসকিউএল সার্ভার প্রমাণীকরণ ব্রুট-ফোর্স আক্রমণ দুর্বলতার কথা আসে, পরিস্থিতি তেমন অনুকূল নয়। এসকিউএল সার্ভার প্রমাণীকরণের এমন কোনও বৈশিষ্ট্য নেই যা সিস্টেমটি যখন কোনও ব্রুট-ফোর্স আক্রমণে থাকে তখন সনাক্তকরণের অনুমতি দেয়। অধিকন্তু, এসকিউএল সার্ভার প্রমাণীকরণের শংসাপত্রগুলি বৈধকরণের ক্ষেত্রে এসকিউএল সার্ভারটি অত্যন্ত প্রতিক্রিয়াশীল। এটি সহজেই বারবার, আক্রমণাত্মক, হিংস্র-জোর লগইন প্রচেষ্টাগুলি নেতিবাচক সামগ্রিক পারফরম্যান্স ছাড়াই পরিচালনা করতে পারে যা এই জাতীয় আক্রমণকে নির্দেশ করতে পারে might এর অর্থ হ'ল এসকিউএল সার্ভার প্রমাণীকরণ হ'ল ব্রুট-ফোর্স আক্রমণগুলির মাধ্যমে পাসওয়ার্ড ক্র্যাক করার জন্য একটি সঠিক লক্ষ্য

এছাড়াও, প্রতিটি নতুন চালু হওয়া এনক্রিপশন এবং পাসওয়ার্ড জটিলতার পদ্ধতির সাথে ব্রুট-ফোর্স পদ্ধতিগুলি বিকশিত হচ্ছে। উদাহরণস্বরূপ, আক্রমণকারীরা যে রেইনবো টেবিলগুলি ব্যবহার করে (অক্ষরের প্রতিটি সম্ভাব্য সংমিশ্রণের জন্য ক্রিপ্টোগ্রাফিক হ্যাশ মানগুলি উল্টানোর জন্য প্রাক-গণিত টেবিল) সহজেই এবং দ্রুত কোনও হ্যাশ পাসওয়ার্ড ক্র্যাক করতে পারে

আপনার এসকিউএল সার্ভারকে বর্বর-আক্রমণ আক্রমণ থেকে রক্ষা করার জন্য আপনার নিম্নলিখিতগুলি বিবেচনা করা উচিত:

  • এসকিউএল সার্ভার প্রমাণীকরণ মোড ব্যবহার করবেন না - আক্রমণকারীকে উইন্ডোজ প্রমাণীকরণের মাধ্যমে লগইন লকআউটে আঘাত করতে বাধ্য করুন
  • আপনার যদি এসকিউএল সার্ভার প্রমাণীকরণ মোড ব্যবহার করতে হবে, এসএ লগইন অক্ষম করতে বা সরিয়ে ফেলতে হবে - এইভাবে আক্রমণকারীর অবশ্যই অনুমান করা উচিত এবং ব্যবহারকারীর নাম এবং পাসওয়ার্ড উভয়ই যুক্ত করতে হবে
ইভান স্টানকোভিচ
সূত্র
1

সা অ্যাকাউন্ট, সক্ষম করা হলে এসকিউএল সার্ভারে কিছু করতে পারে। যদি কোনও আক্রমণকারী এই অ্যাকাউন্টে প্রবেশ করত তবে তারা এসকিউএল সার্ভারের উদাহরণে (এবং সম্ভবত হোস্ট ওএস) যে কোনও কিছু করতে পারত।

mrdenny
সূত্র
1

এসএ (এবং অন্যান্য সুপরিচিত অ্যাকাউন্টের নাম) হ্যাকাররা আক্রমণ করতে পারে এমন সুপরিচিত পয়েন্ট। ওরাকলগুলির মধ্যে কয়েকটি দুর্বল নথিভুক্ত ছিল এবং সুতরাং ডিফল্ট পাসওয়ার্ডগুলি সর্বদা পরিবর্তিত হত না। এসকিউএল সার্ভারে এসএ অ্যাকাউন্টটি নিয়ন্ত্রণ পেয়ে গেলে আপনি যে সার্ভারটি চলছে তা নিয়ন্ত্রণ করুন এবং কোনও কোড চালাতে বা আপনার ইচ্ছামত কিছু ইনস্টল করতে পারবেন। আমার আরও কাউবয় দিনগুলিতে, আমি এসকিউএল সার্ভারকে হোস্ট করে যাচ্ছিল এমন একটি ওয়েবসিভারে একটি অ্যাক্টিএক্স নিয়ন্ত্রণ ইনস্টল করার জন্য (এটি আমার কাগজপত্রের প্রয়োজন ছিল না) অনুমতি দেওয়া হচ্ছে না তা মনে আছে - তাই আমি কপি করে কন্ট্রোলটি এক্সপি_সিএমএসডি ব্যবহার করেছিলাম ।

Tangurena
সূত্র
1
ডিফল্ট ওরাকল এসওয়াইএস পাসওয়ার্ডটি পরিবর্তন_ইনস্টল এবং আপনি অবাক হবেন যে কত লোক না!
গাইউস
আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.