Questions tagged «security»

我们有以下设置： 包含私有数据的多生产数据库，桌面软件使用该数据库 公共网站的Web数据库，需要来自私有数据库的一些数据 一个中间数据库，其中包含一些视图和存储过程，这些视图和存储过程从私有数据库中提取数据 当前，网站登录到Web数据库，并且Web数据库连接到中间数据库以提取数据或在生产数据库上执行存储过程。所有数据库都在同一SQL实例上，并且整个过程使用相同的用户帐户。 该用户帐户具有对Web数据库和中间数据库的完全访问权限，但只能访问和私有数据库的特定视图和存储过程 这真的比仅使公共数据库直接连接到私有数据库更安全吗？ 似乎中间数据库只是使事情复杂化，因为使用同一登录名来访问所有数据库中的数据，并且它已经仅限于专用数据库中所需的视图/ SP。我希望将其删除。

18 database-design  security 

我有一个用户收到ORA-28002，该密码指示密码将在六天内过期。我执行以下操作： ALTER PROFILE DEFAULT LIMIT PASSWORD_LIFE_TIME UNLIMITED; 但是，当我尝试以用户身份登录时，该消息仍然存在。执行此： select * from dba_profiles where RESOURCE_NAME LIKE 'PASSWORD_LIFE_TIME'; 显示值实际上已更改为UNLIMITED。

18 oracle  security 

查看我所见过的大多数基于PHP / MySQL的网站的结构，似乎很难辨别数据库密码，因为您一定会在某个地方存储设置或配置文件以进行日志记录进入数据库。除了确保对远程请求适当限制数据库特权的基本预防措施之外，我可以在自己的项目中实现哪些可用选项来保护此信息？

18 mysql  security 

我有一个使用“荣誉系统”安全性的应用程序要部署到生产中。也就是说，所有用户都使用SQL用户/密码凭据连接到数据库，并且该应用程序自行管理权限。对于连接对象包含嵌入式凭据并且可以自由复制的事实，后半部分并没有给我带来多少麻烦。我试图找到一种方法来将连接限制到一组更有限的客户端。我可以创建防火墙规则来限制IP。是否可以通过计算机帐户或域成员资格“预限定” SQL登录名的任何方法？

17 sql-server  sql-server-2012  security 

当我看时sys.sql_logins，会看到一列名为is_policy_checked。我是否可以相信已经为该列值为的所有登录检查了密码策略1？

16 sql-server  security  logins  password 

我们有一个要离开的用户，我需要知道他拥有的每个数据库对象。是否有查询将提供此信息？

16 sql-server  sql-server-2008  security 

使用什么证书来加密实例上的每个数据库。 我可以使用以下方法获取数据，但是如何编写查询 USE master GO -- this provides the list of certificates SELECT * FROM sys.certificates -- this provides the list of databases (encryption_state = 3) is encrypted SELECT * FROM sys.dm_database_encryption_keys WHERE encryption_state = 3; 我注意到sys.certifcates.thumbprint和sys.dm_database_encryption_keys.encryptor_thumbprint列包含相同的数据。

15 sql-server  security  encryption  transparent-data-encryption 

首先介绍一些背景。 LedgerSMB项目是在PostgreSQL上运行的开源财务会计软件项目。我们在用户定义的函数中实现了大量的业务逻辑，这些逻辑充当程序对象方法与数据库行为之间的主要映射工具。当前，我们将数据库用户用作身份验证用户，部分是通过选择（这允许集中的安全逻辑，以便可以编写其他工具并重复使用授予用户的权限），另一部分是根据需要（在从SQL-Ledger分叉之后）在该代码库上加装安全性的选择不多）。 这使我们可以访问PostgreSQL可以访问的合理数量的单点登录选项，从LDAP到Kerberos5。我们甚至可以在涉及密码的情况下使用PAM。它还允许我们在与其他应用程序集成或允许其他客户端界面时重用权限。对于财务会计应用程序来说，这似乎是一个净赢。 涉及明显的成本。对于Web应用程序，我们非常受支持的http auth类型限制。例如DIGEST完全被淘汰。BASIC可以正常工作，并且我们可以很容易地实现KRB5（我计划对此提供支持，并在1.4版本开箱即用）。虽然很可能会在必要时对它们进行垫片化（例如，BASIC +带有用户名和特定根ca的cn的cn的客户端SSL证书），但不能直接在此上正确地管理非常强大的身份验证措施。 同时，我们受到了很多批评，大多数是来自开发人群，还有一些是来自dba的批评，他们告诉我应用程序应该是安全屏障，而不是数据库。我仍然认为，较小的安全范围通常更好，重用业务逻辑和安全逻辑在一起，并且重用业务逻辑而不在同一级别重用安全逻辑使我感到非常危险。该程序。 我在这里错过任何重大的权衡吗？是否有我没有考虑的陷阱？

15 database-design  postgresql  security 

我向政府机构的信息系统索要概念性方案以进行研究。我的请求已被拒绝，原因是存在安全风险。 我确实没有丰富的数据库经验，所以我无法验证该说法。公开您的架构真的有那么大的安全风险吗？我的意思是，它们是非常抽象的，与硬件和软件实现分离。对于攻击者如何利用概念性模式的解释将不胜感激。谢谢。

15 database-design  security 

我需要从甲骨文中取证删除数据。如果我只是删除它，我的理解是数据将实际上仍然存在于数据文件中，直到重新使用该空间为止。我不在乎重做/归档/撤消空间，那些空间会很快老化。 有什么方法可以确保实际上已从数据文件中删除数据？

15 oracle  security 

我一直在尝试解决无法查看SQL Server 2012数据库中某些表的登录名。这样做时，我发现我不太了解db_owner角色允许的成员身份。我可以理解其他角色，例如，db_datareader and db_datawriter但是我对db_owner允许的角色仍然感到困惑。

15 sql-server  sql-server-2012  security 

我打算将a UNIQUEIDENTIFIER作为访问密钥，用户可以用来访问某些数据。在这种意义上，密钥将充当密码。 我需要在INSERT...SELECT语句中生成多个这样的标识符。出于架构原因，在这种情况下，我想在服务器端生成标识符。 如何生成安全随机的UNIQUEIDENTIFIER？注意，这NEWID不会足够随机，因为它根本不保证任何安全属性。我正在寻找与System.Security.Cryptography.RandomNumberGenerator等效的SQL Server，因为我需要不可猜测的ID。基于的任何内容CHECKSUM，RAND或GETUTCDATE也不符合条件的内容。

15 sql-server  sql-server-2012  security  uniqueidentifier  cryptography 

我不小心给了用户db_owner模式的所有权（使用下面的UI中的复选框），现在我不能： 将所有权转让给另一个用户 从数据库中删除用户（尽管我可以在SQL Server中删除登录名） 我尝试了数据库主体在数据库中拥有一个架构，无法删除。 ALTER AUTHORIZATION ON SCHEMA::db_owner TO dbo 尽管成功完成了该操作，但用户仍然拥有所有权，并且该控件显示为灰色，因此我似乎也无法在用户界面中进行操作。 找到一个解决方案： 除了Arron的答案外，我还意识到我会在错误的DB（facepalm！）中运行以上命令。一旦纠正了数据库，上面的SQL和下面的答案都将起作用。

15 sql-server-2012  security  schema 

我知道我们可以使用SQL Server中的GUI来检查登录名和定义的用户，但是想知道如何使用脚本来执行此检查。 我在下面运行查询，但显示了Principal_id，我不确定该如何映射以获取权限级别。 SELECT * FROM Sys.login_token 那么，是否有任何内置存储的proc可以列出登录名和用户及其权限级别？ 谢谢。

14 sql-server  sql-server-2008  security 

我知道我可以通过使用sys.fn_my_permissions以下命令查询有效权限： USE myDatabase; SELECT * FROM fn_my_permissions('dbo.myTable', 'OBJECT') entity_name | subentity_name | permission_name ------------------------------------------------ dbo.myTable | | SELECT dbo.myTable | | UPDATE ... 这告诉我当前用户是否对myTabledatabase 具有SELECT，INSERT，UPDATE等权限myDatabase。 是否可以轻松找出用户为何具有这些权限？例如，我很想拥有一个fn_my_permissions_ex输出附加reason列的函数： USE myDatabase; SELECT * FROM fn_my_permissions_ex('dbo.myTable', 'OBJECT') entity_name | subentity_name | permission_name | reason ------------------------------------------------------------------------------------------------------------------------------------ dbo.myTable | | SELECT | granted to database role …

14 sql-server  security  permissions  debugging