Discussion :

[vince2005]

Bonjour,

Je dois mettre en place une stratégie de sécurité sur nos bases SYBASE ASE lors des connections utilisateurs, afin que les mots de passe de circule pas en dur sur le réseau.

Je fais couramment des scripts en ksh ou en perl, avec les commandes isql -U sa -P totoot -S SERVEUR1.

Comment puis je faire pour que les mots de passe n'apparaissent pas en dur et soit reconnu par ma base de données.

Quels sont les pistes à explorer ?

Merci d'avance pour vos réponses.

Cordialement

[ram-0000]

Comment puis je faire pour que les mots de passe n'apparaissent pas en dur et soit reconnu par ma base de données.

J'ai malheureusement peur que ce problème soit sans solution.

[vince2005]

J'ai lu quelques docs où l'on parlait de Power AMC !

[ram-0000]

J'ai lu quelques docs où l'on parlait de Power AMC !

Oui, c'est un outil de modélisation et d'audit. Aucune utilité je pense pour ton problème.

[DBRep]

Je fais couramment des scripts en ksh ou en perl, avec les commandes isql -U sa -P totoot -S SERVEUR1.

Comment puis je faire pour que les mots de passe n'apparaissent pas en dur et soit reconnu par ma base de données.

L'option "-X" de outil isql active (si je ne me trompe pas) l'encryptage des mots de passe.

Attention, ceci n'active l'encryptage QUE du mot de passe, mais pas la connexion (cela n'établit pas une connexion encryptée de type SSL, les requêtes et les données resterons en clair)


DBRep

[DBRep]

Je fais couramment des scripts en ksh ou en perl, avec les commandes isql -U sa -P totoot -S SERVEUR1.

Comment puis je faire pour que les mots de passe n'apparaissent pas en dur et soit reconnu par ma base de données.

En faite .. je ne suis pas sur d'avoir bien saisi ta question.

Si ton problème c'est plutôt de ne plus voir ton mot de passe en clair dans tes scripts, il y a surement plusieurs façons de faire dont une serait de :

- utiliser un fichier Shell qui positionne des variables d'environnement et dont une contiendra ton mot de passe
(bien évidement, se fichier devra être lisible que par les utilisateurs avertis)

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
# .MonEnv.csh
#   ce script set les vairables d'environnement
setenv Mon_Serveur "SRV_Prod"
setenv Ma_DB "DB_Prod"
setenv Mon_User "sa"
setenv Mon_Passwd "toto"

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
...
# positionne les variables
source ~/.MonEnv.csh
isql -U $Mon_User -P $Mon_Passwd -S $Mon_Serveur -D $Ma_DB -i mon-script.sql
...

Si ton problème c'est que quelqu'un puisse voir ton mot de passe à partir de la commande "ps"

- rediriger l'entrée standard d'isql de sorte qu'il lise un fichier contenant ton mot de passe (lui aussi ne devra être lisible que par les utilisateurs avertis)

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
% isql -U mon-user -S mon-serveur -D ma-db -i mon-script.sql < ~/.MonPasswd.txt
etc...

Sinon, peut-être qu'un serveur LDAP ferait l'affaire ...

Maintenant, si tu veux que les gens puissent exécuter ton script pour lancer tes requêtes mais ne pas connaitre ton mot de passe pour se connecter sur la basse de données, peut-être qu'il te faudrait une gateway (ou proxy) ...


DBRep - 2cts