轉(zhuǎn)自:http://blog./u3/112561/showart_2218234.html
以SQL-Server2005為例來說一下關(guān)于數(shù)據(jù)庫安全管理方面的知識(shí)(因?yàn)槲覍W(xué)的就是SQL-Server2005)����。SQL Server 2005主要從以下幾個(gè)方面來保證數(shù)據(jù)庫安全管理的:
1.SQL Server 2005的安全機(jī)制。
2.設(shè)置數(shù)據(jù)庫權(quán)限����。
3.數(shù)據(jù)庫訪問審核。
4.屏蔽SQL Server常見的漏洞�。下面我們了解一下以上各個(gè)方面的詳細(xì)信息:
一、SQL Server 2005 的安全機(jī)制:
SQL Server 2550的安全機(jī)制主要包括以下五個(gè)方面:
1.客戶機(jī)的安全機(jī)制:
客戶機(jī)的安全機(jī)制是指:用戶必須能夠登錄到客戶機(jī)����,然后才能使用SQL Server 2005應(yīng)用系統(tǒng)或客戶機(jī)管理工具來訪問數(shù)據(jù)庫。對(duì)于使用Windows系統(tǒng)的客戶來說����,它主要涉及的是操作系統(tǒng)的安全�����,主要是Windows賬號(hào)的安全(這個(gè)意思就是保證你的電腦系統(tǒng)的安全�����,也就保證了SQL Server 2005的第一道防線)���。
2.網(wǎng)絡(luò)傳輸?shù)陌踩珯C(jī)制:
網(wǎng)絡(luò)傳輸?shù)陌踩话悴捎脭?shù)據(jù)的加密和解密技術(shù)來實(shí)現(xiàn),但加密的SQL Server會(huì)使網(wǎng)絡(luò)速度變慢�,所以對(duì)安全性要求不高的網(wǎng)絡(luò)一般都不采用加密技術(shù)。
3.服務(wù)器安全機(jī)制:
服務(wù)器安全機(jī)制是指:當(dāng)用戶登錄服務(wù)器時(shí)�����,必須使用一個(gè)賬號(hào)(也稱為登錄賬號(hào))和密碼�����,這個(gè)賬號(hào)和密碼是服務(wù)器上的賬號(hào)和密碼��,服務(wù)器會(huì)按照不同的身份驗(yàn)證方式來判斷這個(gè)賬號(hào)和密碼的正確性����。
4.數(shù)據(jù)庫的安全機(jī)制:
任何能夠登錄到服務(wù)器的賬號(hào)和密碼都對(duì)應(yīng)著一個(gè)默認(rèn)的工作數(shù)據(jù)庫。SQL Server對(duì)數(shù)據(jù)庫級(jí)的權(quán)限管理采用的是“數(shù)據(jù)庫用戶”的概念��。
5.數(shù)據(jù)庫對(duì)象的安全機(jī)制:
用戶通過前面四道防線后才能訪問數(shù)據(jù)庫中的數(shù)據(jù)對(duì)象�,對(duì)數(shù)據(jù)對(duì)象能夠做什么樣的訪問稱為訪問權(quán)限。常見的訪問權(quán)限包括數(shù)據(jù)的查詢���、更新��、插入和刪除���。
二、設(shè)置數(shù)據(jù)庫服務(wù)器的訪問權(quán)限
SQL Server的安全性是建立在認(rèn)證和訪問許可兩種安全機(jī)制上的����。其中認(rèn)證是指用來確定登錄SQL Server的用戶的登錄賬戶是否正確,以此來驗(yàn)證其是否有連接SQL Server的權(quán)限���。用戶登錄數(shù)據(jù)庫的合法身份有兩種:Windows的用戶或組��、SQL Server登錄用戶���。
1.SQL Server的驗(yàn)證模式:
SQL server有兩種身份驗(yàn)證模式:Windows身份驗(yàn)證模式和混合驗(yàn)證模式(就是WINDOWS和SQL SERVER驗(yàn)證模式)����。
(1).Windows身份驗(yàn)證模式:
Windows身份驗(yàn)證模式是通過Windows用戶賬號(hào)直接連接SQL Server服務(wù)器�����,Windows用戶或組被映射到SQL Server的登錄用戶��。在該模式下用戶只需要通過Windows身份驗(yàn)證就可以直接連接到SQL Server服務(wù)器���,而不用考慮SQL Server服務(wù)器本身���。這種身份驗(yàn)證模式適用于域環(huán)境下。
(2).SQL Server和Windows混合身份驗(yàn)證模式:
在這種混合模式下��,既可以用Windows用戶賬號(hào)直接登錄SQL Server服務(wù)器����,也可以使用SQL Server用戶賬號(hào)來登錄SQL Server服務(wù)器。當(dāng)然使用SQL Server身份驗(yàn)證模式時(shí)必須先創(chuàng)建SQL Server用戶���。這種模式適用于工作組環(huán)境下����。
注意:因?yàn)閃indows98不支持Windows身份驗(yàn)證���,所以當(dāng)SQL Server運(yùn)行在Windows 98環(huán)境下時(shí)�,就只能使用混合模式���。還有就是當(dāng)我們改變了SQL Server的驗(yàn)證模式時(shí)����,就必須重新啟動(dòng)SQL Server服務(wù)�。
Windows身份驗(yàn)證模式與SQL Server身份驗(yàn)證模式相比有以下優(yōu)勢(shì):
》用戶訪問SQL Server時(shí)速度更快,不用輸入用戶名和密碼�����。
》可以利用Windows賬戶策略來直接進(jìn)行管理����,在安全方面比SQL Server身份驗(yàn)證模式更加安全。
》提供了更多的功能�����,比如:口令復(fù)雜度��、口令最小長(zhǎng)度、賬戶鎖定等����。
我們可以通過打開“SQL Server Management Studio”連入數(shù)據(jù)庫后選擇系統(tǒng)默認(rèn)有的那個(gè)綜合選項(xiàng)右擊“屬性”——“安全性”選項(xiàng)中來設(shè)置SQL Server的身份驗(yàn)證模式。當(dāng)我們修改了身份驗(yàn)證模式后一定要重啟服務(wù)(當(dāng)然系統(tǒng)會(huì)也會(huì)提示你重新啟動(dòng)服務(wù))��。選種默認(rèn)數(shù)據(jù)庫右擊選擇“重新啟動(dòng)”后�����,SQL Server的身份驗(yàn)證模式就修改了����!然后斷開連接重新連接時(shí)有兩個(gè)選項(xiàng)“Windows身份驗(yàn)證模式”與“SQL Server身份驗(yàn)證模式”。
2.設(shè)置登錄賬戶:
可以通過“SQL Server Management Studio”來創(chuàng)建和管理登錄賬戶����,默認(rèn)的QL Server是用Windows身份驗(yàn)證模式,SQL Server的登錄賬戶無法登錄���。只能建立SQL Server登錄賬戶后才能使用SQL Server賬戶登錄�����。當(dāng)然要使用SQL Server賬戶登錄���,就必須把身份驗(yàn)證模式改為混合模式����。下面介紹一下SQL Server中創(chuàng)建登錄賬戶的方法:
其實(shí)在SQL Server中創(chuàng)建登錄賬戶的方法有兩種:一是Windows身份驗(yàn)證模式的登錄名���,另一種是SQL Server身份驗(yàn)證模式的登錄名。Windows身份驗(yàn)證模式的登錄名首先得在系統(tǒng)中存在這個(gè)賬戶才行��,不然的話不可以創(chuàng)建�����。假如系統(tǒng)中存在這個(gè)賬戶����,那么直接輸入“NETBIOS名稱/用戶賬號(hào)”或點(diǎn)擊“搜索”來建立。SQL Server身份驗(yàn)證模式的登錄名就得自己建立一個(gè)用戶名���,并且輸入密碼及設(shè)置相應(yīng)的策略來創(chuàng)建 ����。在建立的過程中會(huì)有些別的選項(xiàng)���,比如:服務(wù)器角色�、用戶映射、安全對(duì)象��、狀態(tài)等��。后面我們會(huì)一一介紹各個(gè)選項(xiàng)的意義���。
建立登錄賬戶的操作是:選擇默認(rèn)數(shù)據(jù)庫下面的“安全性”右擊選擇“新建”——“登錄”來創(chuàng)建��。
3.服務(wù)器角色的概念:
服務(wù)器角色(也稱做固定服務(wù)器角色)是執(zhí)行服務(wù)器級(jí)管理操作的權(quán)限的集合����。我們可以簡(jiǎn)單的把它理解成“Windows系統(tǒng)中的組”����。它跟“Windows系統(tǒng)中的組”是一樣的作用。只不過稱呼不同罷了�!-_-!固定服務(wù)器角色及其描述如下表:(或者你可以到“安全性”下的“服務(wù)器角色”選項(xiàng)中查看)。
|
服務(wù)器角色
|
描述
|
| Sysadmin |
可以執(zhí)行SQL Server上的任何活動(dòng)����,任何具有這種角色成員身份的人都是服務(wù)器上的SA。值得注意的是,Windows的Adminsitrators組被自動(dòng)映射到該角色中�����,為提高安全性����,建議把Administrators組Sysadmin角色中刪除���。
|
| Dbcreator |
可以創(chuàng)建和更改數(shù)據(jù)庫����。 |
| Serveradmin |
可以更改服務(wù)器范圍的配置選項(xiàng)和關(guān)閉服務(wù)器�����,該角色成員所控制的功能對(duì)于服務(wù)器的性能會(huì)產(chǎn)生較大的影響���。 |
| Securityadmin |
管理和審核登錄賬戶(例如:管理登錄名��,讀取錯(cuò)誤日志以及創(chuàng)建數(shù)據(jù)庫許可權(quán)限的登錄名等)�����。 |
| Processadmin |
可以終止SQL Server長(zhǎng)時(shí)間運(yùn)行的進(jìn)程�。 |
| Setupadmin |
配置復(fù)制和鏈接服務(wù)器。 |
| Diskadmin |
用于管理磁盤文件���。 |
| Bulkadmin |
可以運(yùn)行Bulk Insert語句 |
注意:鏈接服務(wù)器可以使SQL Server對(duì)遠(yuǎn)程服務(wù)器上的數(shù)據(jù)源執(zhí)行命令�����。Bulk Insert語句主要是用來實(shí)現(xiàn)SQL Server的大數(shù)據(jù)量文本文件的批量導(dǎo)入���。
我們?cè)趯?shí)際生活中,可以根據(jù)自己工作的實(shí)際情況來運(yùn)用這些個(gè)角色來為用戶分配數(shù)據(jù)庫服務(wù)器權(quán)限�。打開服務(wù)器角色配置頁的方法是:默認(rèn)數(shù)據(jù)庫下的“安全性”選項(xiàng)中的“登錄名”。然后選擇你要為哪個(gè)用戶配置服務(wù)器角色�����,然后選擇用戶右擊“屬性”來打開�。打開后選擇第二項(xiàng)“服務(wù)器角色”來為用戶配置服務(wù)器角色權(quán)限。
二��、新建數(shù)據(jù)庫用戶:
在建立了SQL Server登錄賬戶以后�����,需要授予用戶或組許可,使他們能夠在數(shù)據(jù)庫中執(zhí)行任務(wù)����。登錄賬戶用于訪問SQL Server實(shí)例,數(shù)據(jù)庫用戶則用于訪問數(shù)據(jù)庫�����。要想訪問某個(gè)數(shù)據(jù)庫�,就必須在這個(gè)數(shù)據(jù)庫上建立相對(duì)應(yīng)的數(shù)據(jù)庫用戶。
實(shí)際上數(shù)據(jù)庫用戶是映射到登錄賬戶上的����。也就是當(dāng)我們新建一個(gè)登錄名時(shí)�,就可以把它映射到一個(gè)數(shù)據(jù)庫里,成為這個(gè)數(shù)據(jù)庫的數(shù)據(jù)庫用戶���。建立一個(gè)數(shù)據(jù)庫用戶的具體步驟如下:
首先建立一個(gè)登錄名——然后把這個(gè)登錄名映射到你想要建立數(shù)據(jù)庫用戶的數(shù)據(jù)庫中(當(dāng)然你首先得有你自己的數(shù)據(jù)庫)�。下面是建立一個(gè)數(shù)據(jù)庫DB上的一個(gè)數(shù)據(jù)庫用戶的步驟:
1.首先建立自己的數(shù)據(jù)庫:
2.然后新建登錄名(我這里是使用的Windows用戶����,直接搜索找到用戶就OK了):
3.把登錄賬戶映射到數(shù)據(jù)庫DB讓其成為數(shù)據(jù)庫DB的數(shù)據(jù)庫用戶:
4.然后就可以到DB數(shù)據(jù)庫下面的“安全性”——“用戶”里面就可以找到你映射的數(shù)據(jù)庫用戶了!
如果有多個(gè)人對(duì)某個(gè)數(shù)據(jù)庫具有相同的權(quán)限的時(shí)候�,我們可以直接在AD中新建一個(gè)組,然后把這些個(gè)用戶加入到組里,最后到SQL Server服務(wù)器上新建一個(gè)登錄名��,新建時(shí)候輸入“域名中"."前面的部分\組名”(例如:域名是abc.com的話�����,那么輸入時(shí)候就輸入“abc\組名”)�����。新建好后�,這個(gè)組中的用戶就都可以登錄SQL Server數(shù)據(jù)庫了。
三�、數(shù)據(jù)庫角色:
數(shù)據(jù)庫角色的作用是為數(shù)據(jù)庫用戶設(shè)置對(duì)某個(gè)數(shù)據(jù)庫的權(quán)限,而數(shù)據(jù)庫角色又分為固定數(shù)據(jù)庫角色和用戶定義數(shù)據(jù)庫角色����。固定數(shù)據(jù)庫是一組SQL Server 預(yù)定義的數(shù)據(jù)庫角色,具有數(shù)據(jù)庫級(jí)別的管理權(quán)力���,用來完成常用的數(shù)據(jù)庫任務(wù)���。
1.固定數(shù)據(jù)庫角色有以下幾種:
| 固定數(shù)據(jù)庫角色 |
說明
|
| db_owner |
可以執(zhí)行所有配置和維護(hù)活動(dòng),還可以刪除數(shù)據(jù)庫 |
| db_securutyadmin |
可以修改角色成員身份和管理權(quán)限 |
| db_accessadmin |
可以為Windows登錄名�、組和SQL Server登錄名添加或刪除數(shù)據(jù)庫訪問權(quán)限 |
| db_backupoperator |
可以備份數(shù)據(jù)庫 |
| db_datareader |
可以從所有用戶表中讀取所有數(shù)據(jù) |
| db_datawriter |
可以在所有用戶表中添加����、刪除或更改數(shù)據(jù) |
| db_ddladmin |
可以在數(shù)據(jù)庫中運(yùn)行任何數(shù)據(jù)定義的語言命令 |
| db_denydatareader |
不能讀取數(shù)據(jù)庫內(nèi)用戶表中的任何數(shù)據(jù) |
| db_denydatawriter |
不能添加�����、修改或刪除數(shù)據(jù)庫內(nèi)用戶表中的任何數(shù)據(jù) |
| public |
維護(hù)默認(rèn)的權(quán)限 |
注意:PUBLIC角色是特殊的固定數(shù)據(jù)庫角色�����,特點(diǎn)是:捕獲數(shù)據(jù)庫中用戶的所有默認(rèn)權(quán)限�、所有用戶和角色或組默認(rèn)屬于public角色、無法將用戶和組或角色指派給它�,因?yàn)槟J(rèn)情況下它們即屬于該角色、不能被刪除����。為public角色授予權(quán)限時(shí)必須非常小心�,因?yàn)橐粋€(gè)小小的錯(cuò)誤可能導(dǎo)致用戶非法訪問數(shù)據(jù)庫。
2.用戶自定義數(shù)據(jù)庫角色:
當(dāng)固定服務(wù)器角色不能滿足要求時(shí)����,就可以自己創(chuàng)建數(shù)據(jù)庫角色,定義一組用戶具有相同的權(quán)限���?��?梢允褂肧QL Server Management Studio的對(duì)象資源管理器創(chuàng)建用戶定義數(shù)據(jù)庫角色�����。為數(shù)據(jù)庫設(shè)置權(quán)限的步驟如下:
(1).打開你新建的數(shù)據(jù)庫下面的“安全性”選項(xiàng)下的“角色”里的“數(shù)據(jù)庫角色”來設(shè)置數(shù)據(jù)庫權(quán)限�����。
然后你想讓你的用戶擁有什么權(quán)限就把他加入到哪個(gè)數(shù)據(jù)庫角色中����。然后這個(gè)用戶就擁有了相應(yīng)的權(quán)限。比如把個(gè)用戶加入到db_owner角色中。
四、數(shù)據(jù)庫訪問審核:
審核可以幫助跟蹤并阻止系統(tǒng)中未經(jīng)授權(quán)的用戶行為。對(duì)那些具有高特權(quán)但卻干壞事的管理員或者用戶進(jìn)行審核,對(duì)保護(hù)系統(tǒng)十分有用����。一個(gè)好的審核系統(tǒng)允許只對(duì)那些重要的事件進(jìn)行過濾,因此用戶不會(huì)淹沒在海量的信息中。所有數(shù)據(jù)平臺(tái)均在不同程度上提供審查功能�。
下面來說一下SQL Server安全審核的設(shè)置:
首先打開數(shù)據(jù)庫服務(wù)器的“屬性”——“安全性”里的“登錄審核”選項(xiàng)來設(shè)置數(shù)據(jù)庫訪問審核����。根據(jù)自己的實(shí)際情況來設(shè)置那些選項(xiàng)���。比如你是要審核“登錄失敗”的還是“登錄成功”的或者是“登錄失敗和成功”都進(jìn)行審核的�。當(dāng)這些設(shè)置好后���,你就可以用一個(gè)錯(cuò)誤的登錄名或正確的登錄名來登錄一下試試審核啟動(dòng)沒有����。你可以在Windows系統(tǒng)中的“事件查看器”里面找到審核的內(nèi)容�。
五��、屏蔽SQL Server常見漏洞:
1.修改SA密碼����。
因?yàn)镾A是SQL Server默認(rèn)的超級(jí)管理員����,所以一定要確保SA密碼的安全性。最好是把SA密碼設(shè)的復(fù)雜點(diǎn)���,如果有必要可以把SA的用戶名也修改了���。
2.刪除或禁用不必要的用戶:
系統(tǒng)中包含的默認(rèn)用戶�����,往往因?yàn)橛脩裘墓_,成為黑客攻擊的目標(biāo)�。所以安全的做法是應(yīng)該將這些公開的用戶刪除或禁用后重建��。比如說:默認(rèn)的Administrators組就可以直接刪了或禁用�。
3.刪除危險(xiǎn)的存儲(chǔ)過程:
為什么要?jiǎng)h除不必要的存儲(chǔ)過程呢����?因?yàn)橛行┐鎯?chǔ)過程很容易被人利用����,用來提升權(quán)限或進(jìn)行破壞。主要有以下幾種存儲(chǔ)過程:
(1).執(zhí)行操作系統(tǒng)命令的存儲(chǔ)過程xp_cmdshell����。
(2).操縱OLE自動(dòng)化對(duì)象的存儲(chǔ)過程����。
(3).注冊(cè)表訪問的存儲(chǔ)過程�。
(4).文件操作類存儲(chǔ)過程����。
(5).進(jìn)程管理類存儲(chǔ)過程。
(6).任務(wù)管理類存儲(chǔ)過程��。
上面這幾種存儲(chǔ)過程因?yàn)槲乙膊辉趺炊栽谶@里不詳細(xì)介紹了��,你們可以看我另一篇文章“SQL高級(jí)注入使用之存儲(chǔ)過程”(http://blog./u3/112561/showart_2223533.html)這是我從我們老師那里轉(zhuǎn)的^_^。有興趣的可以去看看���。
4.關(guān)閉不必要的網(wǎng)絡(luò)連接功能�。
SQL Server 提供外圍應(yīng)用配置器單一的界面����,減少外圍應(yīng)用,停止或禁用不必要的服務(wù)或連接�����。外圍應(yīng)用的減少使得對(duì)系統(tǒng)的攻擊途徑減少��,有助于提高安全性。使用“外圍應(yīng)用配置器”可以啟用�����、禁用��、開始或停止SQL Server2005安裝的一些功能服務(wù)和遠(yuǎn)程連接����。打開“外圍應(yīng)用配置器”的步驟是:“開始”——“程序”——“Microsoft SQL Server 2005”——“配置工具”——“SQL Server外圍應(yīng)用配置器”來打開“SQL Server外圍應(yīng)用配置器”。打開后自己就可以配置了����。
5.配合防火墻過濾指定端口訪問:
默認(rèn)情況下��,SQL Server2005會(huì)偵聽TCP1433端口����,并將1433UDP端口用于客戶端與服務(wù)器間的協(xié)議����。因此�,也為攻擊者提供了大量入侵機(jī)會(huì),所以應(yīng)該結(jié)合防火墻來限制對(duì)端口的訪問。使用SQL Server配置管理器可以通過更改默認(rèn)端口���、配置命名實(shí)例來偵聽同一端口����,也可以隱藏端口。
6.禁用不必要的協(xié)議。
7.加密數(shù)據(jù)(也就是通過證書等加密方法來加密數(shù)據(jù)來保證數(shù)據(jù)安全)�����。
8.定期安裝補(bǔ)丁����。
好了����,這一節(jié)就完了。。�。真累-_-�!�。
