সবাইকে সা লগ ইন ব্যবহার করার অনুমতি দেওয়া কেন খারাপ অভ্যাস?

25

এমনকি মাইক্রোসফ্ট এসকিউএল সার্ভার প্রমাণীকরণ মোডের ব্যবহারকে নিরুৎসাহিত করে , তবে আমাদের অ্যাপ্লিকেশনগুলির এটির প্রয়োজন।

আমি পড়েছি যে saউইন্ডোজ প্রমাণীকরণ ব্যবহার করে এবং সেই অ্যাকাউন্টগুলি (বা অ্যাকাউন্ট গোষ্ঠী) সিসাদমিন সুবিধাগুলি ব্যবহারের পরিবর্তে ব্যবহারকারীদের সরাসরি লগইনটি ব্যবহার না করা একটি সেরা অনুশীলন ।

  • মূলত একই জিনিস না? সুবিধা / অসুবিধাগুলি কী কী?
  • সেরা অনুশীলনটি কীভাবে আমার এসকিউএল সার্ভারের উদাহরণগুলির সুরক্ষা বাড়ায়?
  • এটি কি কেবলমাত্র উত্পাদন দৃষ্টান্তগুলিতে বা আমাদের অভ্যন্তরীণ বিকাশের উদাহরণগুলিতে প্রযোজ্য?
sql-server  security 
জন সেগেল
সূত্র
আমি এই অর্ধেকটিকে ক্যানোনিকাল রেফারেন্স হিসাবে জিজ্ঞাসা করছি কারণ আমি গুগলের মাধ্যমে কিছু খুঁজে পাই না (আমি যে দিকটি আবরণ করি নি সেটিকে সম্পাদন করতে নির্দ্বিধায় অনুভব করব), এবং অর্ধেকটি ম্যানেজমেন্টকে বোঝানোর জন্য যে এই পরিবর্তনটি করা একটি ভাল জিনিস (TM)।
জন সেগেল
6
প্রত্যেককে আপনার বাড়ির চাবিটির অনুলিপি দেওয়ার মতোই অনুশীলন। ;)
জেরেমিয়া পেশকা
1
উল্লেখ করার দরকার নেই, 'সা' এসকিউএল সার্ভারের একটি সর্বজনবিদিত লগইন নাম, তাই এটি একটি সহজ টার্গেট হিসাবে তৈরি করে। সত্যিই জড়িত কোন অনুমান। আমি দেখেছি সংস্থাগুলি নাম 'সা' থেকে আলাদা কিছুতে পরিবর্তন করে। এমনকি যদি কেবলমাত্র একটি ছোট স্তর হয় তবে সাইবার অনুপ্রবেশকারীদের পক্ষে কোনও কিছুর অধিকার পেতে এটি কিছুটা শক্ত করে তোলে।
টমাস স্ট্রিংগার
3
আপনার অ্যাপ্লিকেশনগুলির এটির প্রয়োজন নেই । তারা কেন মনে করে দয়া করে আমাদের বলুন।
এনভিজেল
দুর্দান্ত প্রশ্ন। যদি কেবলমাত্র অন্য ডাটাবেস পেশাদাররা এই একই প্রশ্নটি থামিয়ে জিজ্ঞাসা করে, তবে সুরক্ষার পরিমাণ খুব কম হবে।
টমাস স্ট্রিংগার

উত্তর:

52

এখানে আপনার বেশ কয়েকটি ভিন্ন প্রশ্ন রয়েছে, তাই আমি স্বতন্ত্রভাবে তাদের ছিটকে যাব:

"আমি পড়েছি যে উইন্ডোজ প্রমাণীকরণ ব্যবহার করে ব্যবহারকারীদের সরাসরি সা লগইন ব্যবহার না করা একটি সেরা অনুশীলন"

আপনি এখানে দুটি জিনিস মিশ্রণ করছেন: এসএ ধারণা এবং এসকিউএল প্রমাণীকরণ এবং উইন্ডোজ প্রমাণীকরণের ধারণা।

এসকিউএল প্রমাণীকরণ হ'ল ব্যবহারকারীর নাম এবং পাসওয়ার্ডগুলির একটি তালিকা যা প্রতিটি এসকিউএল সার্ভারে সঞ্চিত থাকে। এটি এসকিউএল-এ সংরক্ষিত হওয়া প্রথম সমস্যা। আপনার যদি কোনও লগইনের পাসওয়ার্ড পরিবর্তন করতে হয় তবে আপনাকে এটি প্রতিটি সার্ভারে পরিবর্তন করতে হবে (বা বিভিন্ন সার্ভারে বিভিন্ন পাসওয়ার্ড বজায় রাখতে হবে)। উইন্ডোজ প্রমাণীকরণের সাহায্যে আপনি কেন্দ্রীয়ভাবে লগইন অক্ষম করতে পারেন, পাসওয়ার্ড পরিবর্তন করতে পারেন, নীতি সেট করতে পারেন ইত্যাদি etc.

আপনি যদি এসকিউএল প্রমাণীকরণ ব্যবহার করতে চান, তবে এসএ হ'ল একটি এসকিউএল প্রমাণীকরণ লগইন। এটি ডিফল্ট প্রশাসক ব্যবহারকারীর নাম, ঠিক যেমন প্রশাসক উইন্ডোজ প্রমাণীকরণে রয়েছে। এর এক উদাহরণে স্থানীয় পরাশক্তি রয়েছে, তবে সমস্ত দৃষ্টিতে বৈশ্বিক পরাশক্তি নয়।

"... এবং সেই অ্যাকাউন্টগুলিকে (বা অ্যাকাউন্ট গোষ্ঠীগুলি) সিসাদমিন সুবিধার অনুমতি দেওয়া হচ্ছে।"

প্রমাণীকরণের যে কোনও পদ্ধতি আপনি চয়ন করুন না কেন, আদর্শভাবে আপনি ন্যূনতম সুযোগ-সুবিধার নীতিটি অনুসরণ করতে চান: লোকদের তাদের কাজটি করার জন্য ন্যূনতম ন্যূনতম অধিকার প্রদান করা এবং আরও কিছু নয়।

এগুলিকে কেবল লগইন হিসাবে ভাবেন না - তারা এমন লোক যারা আপনাকে বহিষ্কার করতে পারে। যদি তারা ডেটাবেসটি ফেলে দেয় বা আপনার ব্যাকআপ কাজগুলি দুর্ঘটনাক্রমে অক্ষম করে, তবে তারা বরখাস্ত হবে না, কারণ ডিফল্টরূপে এসকিউএল কে করেছে কী তা ট্র্যাক করে না। আপনিই সেই ব্যক্তি যাকে বরখাস্ত করা হবে কারণ এটি ঘটতে চলেছে, এবং কোন ব্যক্তি এটি করেছে তা আপনি বলতে সক্ষম হবেন না।

"সেরা অনুশীলনটি কীভাবে আমার এসকিউএল সার্ভারের উদাহরণগুলির সুরক্ষা বাড়ায়?"

আপনি দুটি জিনিস করতে চান:

  1. সার্ভার ভাঙ্গা থেকে লোকদের থামান
  2. যখন তারা সার্ভারটি ভেঙে দেয়, তখন কে এটি করেছে তা সঠিকভাবে সনাক্ত করতে সক্ষম হন

প্রথমটি ন্যূনতম সুযোগ-সুবিধার নীতির সাথে সম্পন্ন হয়: লোকেরা কেবল তাদের প্রয়োজনীয় অনুমতি দেয়, এবং আরও কিছু না।

দ্বিতীয়টি প্রতিটি ব্যক্তিকে তাদের নিজস্ব লগইন দিয়ে ভাগ করে নেওয়া লগইন না দেওয়ার (যেমন সবাইকে একই ব্যবহারকারীর নাম / পাসওয়ার্ড ব্যবহার করতে দেওয়া) এবং আদর্শভাবে লগইনগুলি নিরীক্ষণের মাধ্যমে সম্পন্ন হয়। আপনি সম্ভবত এখনই শেষ অংশটি করবেন না, কারণ এটি একধরনের বেদনাদায়ক, তবে আসুন প্রথমে টুকরোগুলি রেখে দিন যাতে আপনি পরে অডিটিং যুক্ত করতে পারেন কেউ কোনও ডাটাবেস ড্রপ করার পরে এবং আপনার বস কেন এটি জানতে চান।

আপনি কী ভাবছেন তা আমি জানি: "তবে আমরা অ্যাপ্লিকেশনগুলি কোডিং করছি এবং অ্যাপটির জন্য একটি লগইন প্রয়োজন।" হ্যাঁ, অ্যাপ্লিকেশনটিকে তার নিজস্ব লগইন দিন, এবং বিকাশকারীদের সেই পাসওয়ার্ডটি জানা উচিত, তবে সেই লগইনটিকে অনুমতিগুলি এমনভাবে ছিনিয়ে নেওয়া উচিত যাতে তাদের সঠিক মনে কেউই এটি ব্যবহার করতে চায় না। উদাহরণস্বরূপ, এটি db_datareader এবং db_datawriter ভূমিকা একা থাকতে পারে, অন্য কিছুই। এইভাবে এটি ডেটা inোকাতে, আপডেট করতে, মুছতে এবং নির্বাচন করতে পারে তবে স্কিমার পরিবর্তন, সূচিপত্র যুক্ত করা, সঞ্চিত পদ্ধতি পরিবর্তন করা ইত্যাদি প্রয়োজনীয় নয় not

"এটি কি কেবলমাত্র উত্পাদন দৃষ্টান্তগুলিতে বা আমাদের অভ্যন্তরীণ বিকাশের উদাহরণগুলিতে প্রযোজ্য?"

আমি মনে করি এটি বিকাশের উদাহরণগুলিতে ঠিক তেমন প্রযোজ্য কারণ আমি সাধারণত মানুষকে জিনিস ভাঙার বিষয়ে চিন্তিত। লোকেরা কেবল উন্নয়নে সার্ভার ভাঙতে পছন্দ করে। এবং অবশ্যই, যখন উত্পাদনে স্থানান্তরিত হওয়ার পরিবর্তনের তালিকাগুলি বান্ডিল করার সময় হয়েছে তখন আমার জানতে হবে যে কোনও নির্দিষ্ট সূচকটি অ্যাপ্লিকেশনটির পক্ষে সত্যই গুরুত্বপূর্ণ কিনা বা কোনও হোনহেড কেবল ডেটাবেস টিউনিং অ্যাডভাইজারকে চালিত করে এবং সমস্ত পরিবর্তন প্রয়োগ করতে বলেছিল । যথাযথ অনুমতিগুলি এই ব্যথা হ্রাস করতে সহায়তা করে।

ব্রেন্ট ওজার
সূত্র
1
এসএ এক
নজরে
@gbn - আমি নিশ্চিত না যে আমি অনুসরণ করি। আপনি এর কিছু উদাহরণ নির্দেশ করতে পারেন? আমি বুঝতে পারি যদি আপনি দুর্বল কনফিগারেশনগুলির বিষয়ে কথা বলছেন (যেমন সমস্ত সার্ভার একই পরিষেবা অ্যাকাউন্ট ভাগ করে নিয়েছে) তবে যখন আপনি সার্ভারগুলি বিভিন্ন পরিষেবা অ্যাকাউন্টের অধীনে চলছে তখন আপনি কীভাবে তা সম্পাদন করছেন তা সম্পর্কে আমি পরিষ্কার নই।
ব্রেন্ট ওজার
একটি স্ট্যান্ডার্ড বিল্ড বড় সংস্থাগুলিতে একই ডোমেন অ্যাকাউন্ট ব্যবহার করবে। যদিও তারা পৃথক ছিল, তারা একই এডি গ্রুপের সদস্য হতে চাই (অঞ্চলগুলিতে অবশ্যই অবশ্যই) সম্ভবত তাদের একই অধিকার রয়েছে। আমি উভয় বিশ্বব্যাপী বড় সংস্থায় (বিনিয়োগ ব্যাংক)
দেখেছি
9
ঠিক আছে, এটি একটি ভিন্ন সমস্যা। সর্বাধিক সুরক্ষিত সংস্থাগুলিতে আমি দেখেছি, প্রতিটি সার্ভারকে তার নিজস্ব অ্যাকাউন্ট অ্যাকাউন্টের অধীনে রাখার মান অনুশীলন। এটি অনলাইন আমার এসকিউএল সার্ভার সেটআপ চেকলিস্টেরও একটি অংশ। অবশ্যই, আপনি যদি সেই বেসিক স্পষ্ট পদক্ষেপটি উপেক্ষা করেন তবে আপনি কম সুরক্ষিত - তবে কী কথা?
ব্রেন্ট ওজার 14 ই
15

আসলে আপনি যদি এই হোয়াইটপেপারটি পড়ে থাকেন: এসকিউএল সার্ভার পৃথকীকরণের ডিউটিস হুইটপেপার

এটি আপনাকে বলবে যে তাদের অ্যাকাউন্টে কোনও এক সিসাদমিন সুবিধা ব্যবহার করা উচিত নয় । আপনার প্রাত্যহিক অ্যাক্সেস অ্যাকাউন্টে ন্যূনতম অ্যাক্সেস দেওয়া উচিত, সুস্পষ্ট সিসাদমিন অধিকার নয়। তাদের দেওয়া কন্ট্রোল সার্ভার আসলে সিসাদমিন যা হয় তার খুব কাছাকাছি এবং তারপরেও যেখানে আপনার প্রয়োজন হয় না সেখানে আপনাকে এখনও ডেন / রিভোক অ্যাক্সেসের অনুমতি দেয়। আপনার যদি আইটি কমপ্লায়েন্সের কোনও মানদণ্ড পূরণ করতে হয় তবে কারও কাছে সিসাদমিনের অধিকারের অনুমতি দেওয়া একটি সমস্যা হয়ে দাঁড়ায়। বেশিরভাগ স্ট্যান্ডার্ডের জন্য সিসাদমিন ভূমিকার ন্যূনতম ব্যবহার প্রয়োজন।

ওএস-এ বিল্ট-ইন অ্যাডমিনিস্ট্রেটর অ্যাকাউন্টের সাথে আপনি যেমন করতেন তেমনই আমি "সা" অ্যাকাউন্টটি অক্ষম ও নামকরণ করি। শুধুমাত্র জরুরি অবস্থায় ব্যবহার করতে হবে।

বিকাশকারীদের সাধারণত তাদের বিকাশ পরিবেশে সম্পূর্ণ অ্যাক্সেস দেওয়া হয়। তারপরে যখন তাদের প্রোগ্রামটি প্রাক-উত্পাদন উদাহরণে স্থানান্তরিত হয়, তখন তাদের অ্যাক্সেস ন্যূনতম বা কোনও নয়; যেমন এটি উত্পাদন হবে। এটি একটি নিখুঁত বিশ্ব। তবে আপনি যদি এতে না থাকেন এবং আপনার বিকাশকারীদের আপনার প্রয়োজনমালার চেয়ে উচ্চতর সুযোগ সুবিধা রয়েছে তবে আমি তাদের অ্যাকাউন্ট থেকে হ্যাকটি নিরীক্ষণ করব। আমি কিছু এবং তারা কিছুটা কিছুতেই ক্যাপচার করতাম। সুতরাং আপনার প্রোডাকশন সার্ভারে থাকা অবস্থায় কিছু ভুল হয়ে যাওয়ার পরে আপনি ফিরে যেতে পারেন এবং ঠিক কী করেছিল তা আবিষ্কার করতে পারেন।

শন মেল্টন
সূত্র
2
+1000 হাইটপেপার দুর্দান্ত। আমি এটি থেকে অনেক কিছু শিখেছি।
জন সেগেল
8

আপনি যদি বাহ্যিক নিয়ন্ত্রণ নিয়ন্ত্রণ বা মান (SOX, PCI ইত্যাদি) এর অধীন হন তবে আপনি you

  • একটি নিরীক্ষণ ব্যর্থ হবে
  • আপনার মাসিক পিসিআই চেকগুলি ব্যর্থ হচ্ছে

বিকাশকারীদের কেবলমাত্র উন্নয়নের জন্য একটি নেটওয়ার্ক এসকিউএল সার্ভারে db_owner থাকা উচিত।

যদি আপনার এসকিউএল সার্ভারগুলি সমস্ত স্ট্যান্ডার্ড বিল্ড (অর্থাত্ একই পরিষেবা অ্যাকাউন্ট) দিয়ে নেটওয়ার্কে থাকে তবে তারপরে সেগুলির সমস্ত অধিকার স্বীকার করে।

যদি পরিষেবা অ্যাকাউন্ট স্থানীয় প্রশাসক হয় তবে আপনার বিকাশকারীদের সার্ভারগুলিতেও সম্পূর্ণ নিয়ন্ত্রণ রয়েছে।

কোনও উত্সাহ নেই।

gbn
সূত্র
সেখানে হয় একটি গোলমালে, এটা ঠিক অন্যদের দ্বারা outweighed আছে: সুবিধার্থে। প্রত্যেকের পক্ষে এটি ব্যবহার করা খুব সহজsa (সম্ভবত পাসওয়ার্ড হিসাবে "পাসওয়ার্ড সহ"), এ কারণেই এটি অনুশীলন হিসাবে চালিয়ে যায়।
সমস্ত ট্রেডের জোন
6

সা = সিসাদমিন

সা-এর সাহায্যে লগ ইন ব্যবহারকারীকে নিম্নলিখিত সমস্তগুলি করার ক্ষমতা দেয়: - ড্রপ করে ডেটাবেস তৈরি করুন - ডাটাবেজে বস্তু পরিবর্তন করুন - ড্রপ করুন এবং লগইন তৈরি করুন - পাসওয়ার্ড পরিবর্তন করুন - সমস্ত ডেটা মুছুন

উইন্ডোজ অ্যাকাউন্ট সিসাদমিন সুবিধা প্রদান একই জিনিস সম্পাদন করে accomp

তালিকাটি চলেছে, তবে এটি আপনাকে কখনও কখনও কখনও কোনও অ-প্রশাসককে ব্যবহার না করার কয়েকটি ভাল কারণ দেয়।

অ্যাপ্লিকেশনগুলিকে কাজ করার জন্য প্রয়োজনীয় ন্যূনতম ন্যূনতম সুবিধা সহ আপনার উইন্ডোজ বা এসকিউএল অ্যাকাউন্ট তৈরি করা উচিত। (যেমন লগইন, সঞ্চিত পদ্ধতি এবং দর্শনগুলি অ্যাক্সেস করুন)

datagod
সূত্র
5

সেরা অনুশীলনটি কিছু শক্তিশালী পাসওয়ার্ডকে সাড়া দিচ্ছে এবং এটিকে ভুলে যেতে হবে।

garik
সূত্র
1

এখনই আমার মনে দুটি বিকল্প রয়েছে, কেন একজনের দুর্বল এসএ অ্যাকাউন্ট থাকা উচিত নয়। যদি আপনার কাছে একজন দুষ্ট ব্যক্তির দুর্বল / খালি পাসওয়ার্ড থাকে (তবে এটি 'বন্ধুত্বপূর্ণ সহকর্মী' তে অনুবাদ করুন):

  • এক্সপি_সিএমএসডি শেল সিস্টেম পদ্ধতি সক্ষম করুন এবং, এসকিএল সার্ভার পরিষেবা অ্যাকাউন্টের সুবিধাগুলি ব্যবহার করে আপনার স্থানীয় বাক্সের ক্ষতি করুন (ফাইলগুলি তৈরি / সরান ..)। এসএর জন্য কম সুরক্ষা থাকা আসলে উদাহরণস্বরূপ সেটিংস সম্পর্কে খুব বেশি কিছু বলে না, তবে ইঙ্গিত দিতে পারে যে পরিষেবা ব্যবহারকারী খারাপ অভ্যাসগুলি অনুসরণ করতে পারে (যেমন প্রশাসক হওয়ার মতো :-));

  • আপনার উদাহরণে মেল সক্ষম করুন এবং একটি ছোট স্প্যাম মজাদার স্ক্রিপ্ট দ্রুত ফরোয়ার্ড করুন (এটি সম্ভবত আপনার ইন্টারনেট সরবরাহকারীর সাথে বা আপনার সহকর্মীদের সাথে আপনাকে কিছুটা সমস্যা দেখা দেবে .. মেইলগুলি কোথায় যায় তার উপর নির্ভর করে ;-));

আমি স্পষ্ট তথ্যগুলি উল্লেখ করব না যে এটি ডেটাবেস, লগইন ... ইত্যাদি ফেলে দিতে পারে etc.

  • মূলত একই জিনিস না? সুবিধা / অসুবিধাগুলি কী কী?

  • অগত্যা নয়: উদাহরণস্বরূপ - আপনার ল্যাপটপ থেকে এসকিউএল সার্ভার উদাহরণে উইন্ডোজ প্রমাণীকরণ এবং এসকিউএল প্রমাণীকরণের মধ্যে পার্থক্যের অর্থ এই যে, তাত্ত্বিকভাবে, কোনও বহিরাগত আক্রমণকারী কেবলমাত্র একটি এসকিউএল অ্যাকাউন্ট ব্যবহার করতে পারে, কারণ উইন্ডোজ প্রমাণীকরণটি আপনার নিজের ডোমেনের বাইরে ব্যবহার করা যায় না অ্যাকাউন্ট। কোনও মল যেখানে আপনি আপনার কফি পান করছেন সেখান থেকে প্রতিবেশী ল্যাপটপগুলি স্ক্যান করতে পারে এবং আপনার কোনও এসকিউএল ইনস্ট্যান্ট ইনস্টলড এবং শুরু হয়ে থাকতে পারে এবং নিখরচায় কিছু মজা করার চেষ্টা করতে পারে। এটি প্রায়শই ঘটেছিল এমন নয় ... তবে এটির একটি সম্ভাবনা :-)।

  • সেরা অনুশীলনটি কীভাবে আমার এসকিউএল সার্ভারের উদাহরণগুলির সুরক্ষা বাড়ায়?

  • যেহেতু এই পৃথিবীর প্রতিটি সর্বোত্তম অনুশীলন তার কাজটি করে .. সম্ভাব্য খারাপ দিকের সম্ভাবনা হ্রাস করে (যেমন: শারীরিক কার্যকলাপ করার সর্বোত্তম অনুশীলনটি আমার মতো হওয়ার সম্ভাবনা হ্রাস করবে ... একটি পালঙ্ক আলু) যা অন্যথায় ঘটতে পারে occur

  • এটি কি কেবলমাত্র উত্পাদন দৃষ্টান্তগুলিতে বা আমাদের অভ্যন্তরীণ বিকাশের উদাহরণগুলিতে প্রযোজ্য?

  • ধরা যাক আমি কমপক্ষে উত্পাদনের ক্ষেত্রে সুরক্ষার সেরা অনুশীলনগুলি (আপনার পরিবেশের প্রয়োজনগুলির জন্য পরীক্ষিত এবং সংশোধিত) প্রয়োগ করার পরামর্শ দিয়েছি। তবে বিকাশে যদি আপনি উত্পাদন ডেটাও (সংবেদনশীল..ইটিসি) ব্যবহার করেন তবে এটি আপনার বিকাশের অনুশীলনগুলিতেও পরিবর্তন আনার একটি দৃ strong় ইঙ্গিত।
মারিয়ান
সূত্র
-1 প্রশ্নটি সত্যই জিজ্ঞাসা করেছে যে উইন্ডোজ ইন্টিগ্রেটেড প্রমাণীকরণের পক্ষে এবং এসকিউএল সার্ভার প্রমাণীকরণকে কেন এড়ানো হবে তবে কীভাবে বা "কেন একজনের দুর্বল এসএ অ্যাকাউন্ট থাকা উচিত নয়" তা নয় তবে
সম্পূর্ণরূপে
@ ফুলপ্রুফ: আপনি কী বলছেন তা আমি বুঝতে পেরেছি এবং প্রতিক্রিয়ার জন্য ধন্যবাদ। আমার দুর্বল এসএ অ্যাকাউন্টের ব্যাখ্যাটি একটি সংস্থার প্রত্যেকের দ্বারা ব্যবহৃত দুর্বল / কোনও পাসওয়ার্ড সহ একটি SA অ্যাকাউন্ট। তবে প্রশ্নটি পুরানো এবং আমি সমস্ত বিবরণ পুরোপুরি মনে রাখি না। এবং শিরোনাম থেকে মূল প্রশ্নে আমি উচ্চারণ করছি - সবাইকে সা লগ ইন ব্যবহার করার অনুমতি দেওয়া কেন খারাপ অভ্যাস?
মেরিয়ান
0

আপনার চূড়ান্ত প্রশ্নে সম্বোধন করে, আমরা আমাদের সমস্ত ডেটাবেস ডেটাবেজে এসএ অ্যাকাউন্ট ব্যবহার করি (সেই সাথে "সা" পাসওয়ার্ড সহ!)

তবে, এটি গুরুত্বপূর্ণ যে আমরা ডেটা সংরক্ষণ করি না এবং আমরা ডেটা উত্পন্ন করি না তা গুরুত্বপূর্ণ। আমাদের ডাটাবেসগুলি কেবলমাত্র সি / সি ++ অ্যাপ্লিকেশনের জন্য ডেটাস্টোরের জন্য ব্যবহৃত হয়। এই বিকাশ ডেটাবেসগুলি খাঁটিভাবে পরীক্ষার ডেটা ধারণ করে এবং প্রায়শই তৈরি করা হয়, বাদ দেওয়া হয়, পরিবর্তিত হয় etc.

এছাড়াও, যেমন সমালোচনামূলক, সমস্ত বিকাশ ডেটাবেস বিকাশ মেশিনে ইনস্টল করা হয়। (প্রতি বিকাশকারী প্রতি এক অনুলিপি, কমপক্ষে!) সুতরাং কেউ যদি পুরো ইনস্টলেশনটি মিস করে, তারা কেবল নিজেরাই গণ্ডগোল করেছে, আর কেউ নেই।

যখন এটি এমন পরিবেশে আসে যেখানে আপনি নিশ্চিত করতে চান যে আপনার ডাটাবেস, টেবিলগুলি এবং ডেটা আসলেই সামঞ্জস্যপূর্ণ এবং নিরাপদ, তখন আপনি একটি দুর্দান্ত, শক্ত এসএ পাসওয়ার্ড চান। যদি আপনি এটিকে দুর্বল করে ফেলে থাকেন তবে যে কেউ এবং প্রত্যেকের কাছে আপনার ডেটাতে সম্পূর্ণ অ্যাক্সেস রয়েছে এবং এটি আপনার ডেটাবেসকে পুরোপুরি ধ্বংস করতে পারে।

বিশুদ্ধরূপে পরীক্ষার ডেটা রয়েছে এমন ডেটাবেসগুলির নিজস্ব অনুলিপি সহ বিকাশকারীদের একগুচ্ছের জন্য, এখনও একটি শক্তিশালী এসএ অ্যাকাউন্ট বজায় রাখার জন্য আমার কাছে এখনও কোনও যুক্তি খুঁজে পাওয়া যায়নি।

রিচার্ড
সূত্র
1
সা, এর সাহায্যে তারা উদাহরণস্বরূপ এক্সপি_সিএমডি শেল সক্ষম করতে পারে এবং তারপরে এটি প্রোডে যাওয়ার দাবি করতে পারে। এবং আমি যেমন উত্তর দিয়েছি, এটি সমস্ত সার্ভারে অধিকার প্রদান করতে পারে। ডিবিও এবং আংশিক সা (ডিবি তৈরি করুন) ইত্যাদি: কোনও সমস্যা নেই
gbn
এমন বিকাশের পরিবেশে যা গ্রাহকের ডেটা উত্পন্ন বা সঞ্চয় করে না - এমন একটি পরিবেশ যেখানে ডাটাবেসের সমস্ত অনুলিপি খালি ডেভলপমেন্ট এবং মোতায়েনের জন্য পরীক্ষার অনুলিপি হয় - আমি এটি দেখতে আসলেই কোনও সমস্যা হতে পারি না। যদি কোনও খারাপ কোড হিট করে প্রোডাকশন ডেটাবেস মারার সম্ভাবনা থাকে তবে হ্যাঁ, আমি কিছুটা শক্ত জাহাজ দেখতে পাচ্ছি।
রিচার্ড
0

সরবরাহিত কোনও ডিফল্ট এসকিউএল সার্ভার সিস্টেম সুরক্ষা পরামিতি পরিবর্তন করতে হবে। প্রমাণীকরণের জন্য মিশ্র মোড (উভয় উইন্ডোজ এবং এসকিউএল সার্ভার প্রমাণীকরণ সক্ষম করে) ব্যবহার না করার পরামর্শ দেওয়া হচ্ছে। পরিবর্তে, শুধুমাত্র উইন্ডোজ প্রমাণীকরণে স্যুইচ করুন - এটি উইন্ডোজ পাসওয়ার্ড নীতি কার্যকর করবে - পাসওয়ার্ডের দৈর্ঘ্য, জীবনকাল এবং ইতিহাস পরীক্ষা করে। উইন্ডোজ পাসওয়ার্ড নীতিটির বৈশিষ্ট্য যা এটি এসকিউএল সার্ভারের প্রমাণীকরণ থেকে আলাদা করে তোলে তা হ'ল লগইন লকআউট - একাধিক ক্রম ব্যর্থ লগনের প্রচেষ্টার পরে লগইন লক হয়ে যায় এবং আরও ব্যবহারের জন্য অকেজো হয়ে যায়

অন্যদিকে, এসকিউএল সার্ভার প্রমাণীকরণ ব্রেট-ফোর্স আক্রমণ প্রচেষ্টা সনাক্ত করার জন্য কোনও পদ্ধতি সরবরাহ করে না এবং সবচেয়ে খারাপ এটি, এসকিউএল সার্ভার এমনকি প্রচুর সংখ্যক দ্রুত লগইন প্রচেষ্টা পরিচালনা করার জন্য অনুকূলিত হয়েছে। সুতরাং, যদি কোনও এসকিউএল সার্ভার প্রমাণীকরণ কোনও নির্দিষ্ট এসকিউএল সার্ভার সিস্টেমে আবশ্যক হয় তবে এসএ লগইনটি অক্ষম করার জন্য এটি সুপারিশ করা হয়

ইভান স্টানকোভিচ
সূত্র
আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.