Discussion :

[Just-Soft]

Salut tout le monde

Bien que l'aspect sécurité semble entamé par l'équipe de développement Firebird mais, à mons avis, ce volet est un peu le coté sombre de ce SGBDR. Pour test, j'ai créé une base de données ESSAI.FDB avec un compte ADMIN qui a tout les contrôles. Mon idée était de protéger ma base de données surtout que mon application est en mode C/S. Sur mon poste, j'ai changé le mot de passe du SYSDBA, tout semble fonctionner normalement mais sur un autre poste j'accède, naturellement, par SYSDBA--Masterkey ! alors que je pensais, que puisque j'ai créé ma BD avec un autre compte le SYSDBA n'a plus aucun contrôle sur ma BD ?!

La question est claire : comment protéger sa base de données pour qu'elle ne tourne sur aucun poste sauf pour les utilisateurs pour qui en a créé des comptes légaux ? donc, surtout éviter le SYSDBA qui semble pourvoir accéder même s'il n'est pas propriétaire de la base de données ?!

[SergioMaster]

Bonjour,

je crois qu'il y a confusion !

. Sur mon poste, j'ai changé le mot de passe du SYSDBA, tout semble fonctionner normalement mais sur un autre poste j'accède, naturellement, par SYSDBA--Masterkey !

ce ci ne devrait/n'est pas possible ! si vous l'avez changé sur votre poste est-ce à dire que c'est votre poste le serveur ?

en mode client serveur , si la base de données est sur un seul poste. Si une base est crée par un propriétaire (nommons le PROPRIO) cela n'empêche que SYSDBA pourra toujours accéder à la base . La première chose indiquée après installation de Firebird est de changer le mot de passe de SYSDBA, ne pas le faire se fait à vos risques et périls.

pour créer une base à laquelle SYSDBA ne puisse accéder il faut faire une petite manip déjà expliquée.
et lire
http://www.developpez.net/forums/d15...d/#post8151107
http://www.firebirdfaq.org/faq160/
http://www.firebirdsql.org/manual/fb...-solution.html

Effectivement, par contre, un méchant garnement copiant la base de donnée et la mettant ensuite sur un poste de travail avec Firebird pourra malgré tout s'en servir avec le couple SYSDBA/masterkey mais ça, il faut une sécurité physique (local fermé). et logique (normalement un utilisateur ne doit pas avoir accès directement au fichier de la base ni au répertoire qui la contient).

[Just-Soft]

Bonjour,

je crois qu'il y a confusion !

ce ci ne devrait/n'est pas possible ! si vous l'avez changé sur votre poste est-ce à dire que c'est votre poste le serveur ?

en mode client serveur , si la base de données est sur un seul poste. Si une base est crée par un propriétaire (nommons le PROPRIO) cela n'empêche que SYSDBA pourra toujours accéder à la base . La première chose indiquée après installation de Firebird est de changer le mot de passe de SYSDBA, ne pas le faire se fait à vos risques et périls.

pour créer une base à laquelle SYSDBA ne puisse accéder il faut faire une petite manip déjà expliquée.
et lire
http://www.developpez.net/forums/d15...d/#post8151107
http://www.firebirdfaq.org/faq160/
http://www.firebirdsql.org/manual/fb...-solution.html

Effectivement, par contre, un méchant garnement copiant la base de donnée et la mettant ensuite sur un poste de travail avec Firebird pourra malgré tout s'en servir avec le couple SYSDBA/masterkey mais ça, il faut une sécurité physique (local fermé). et logique (normalement un utilisateur ne doit pas avoir accès directement au fichier de la base ni au répertoire qui la contient).

pas très encourageant comme solutions !

[SergioMaster]

Bonjour,

pas très encourageant comme solutions !

ne "crachez pas dans la soupe", Firebird est un des seuls vrais SGBDR gratuit open source (contrairement à ce que l'on croit à propos de MySQL)

j'avais oublié de citer ceci mais avec un peu de recherches vous auriez pu y accéder

you can use the SYSDBA role trick to prevent SYSDBA from connecting. Others might say that this isn't bullet-proof if someone knows the Firebird database file internals and a HEX editor a bit, right, but at least you can dismiss SYSDBA connections issued "by accident"

Créer un rôle SYSDBA dans la base de données

Another option with Firebird 2.1 and higher is to create an ON CONNECT trigger with a user-defined condition (e.g. CURRENT_USER <> MYOWNER), which throws an exception and therefore aborts the connection process. Again, not bullet-proof, because e.g. isql has a command-line option to dismiss such database triggers.

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
 
CREATE EXCEPTION BANNIR 'Vous n''avez pas le droit d''accéder à cette base de données';
 
CREATE TRIGGER  PROTECTION ON CONNECT AS
BEGIN
IF (CURRENT_USER= 'SYSDBA') THEN EXCEPTION BANNIR;
END

Si vous voulez une base de données avec cryptage inclus : tournez vous vers Interbase ou téléchargez les sources de Firebird et incluez un cryptage ou s'il s'agit de crypter/compresser le trafic de données utilisez en plus ZEBEEDEE ou SSL.

Enfin,si vous vous sentez l'âme de découvreur utilisez La version Firebird 3 (mais pas en production)
L'équipe recherche des testeurs, la Beta 1 est déjà sortie
initial-review-of-firebird-3 diapositive 14 veuille dire cela
voir aussi les notes de Release Firebird 3 Alpha 1 et
Release Firebird 3 Beta 1

With Firebird 3 comes the ability to encrypt data stored in database. Not all of the database file is encrypted:
just data, index and blob pages

[Just-Soft]

Bonjour,
j'avais oublié de citer ceci mais avec un peu de recherches vous auriez pu y accéder

Créer un rôle SYSDBA dans la base de données

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
 
CREATE EXCEPTION BANNIR 'Vous n''avez pas le droit d''accéder à cette base de données';
 
CREATE TRIGGER  PROTECTION ON CONNECT AS
BEGIN
IF (CURRENT_USER= 'SYSDBA') THEN EXCEPTION BANNIR;
END

Si vous voulez une base de données avec cryptage inclus : tournez vous vers Interbase ou téléchargez les sources de Firebird et incluez un cryptage ou s'il s'agit de crypter/compresser le trafic de données utilisez en plus ZEBEEDEE ou SSL.

merci infiniment, là c'est plus clair.

[SergioMaster]

merci infiniment, là c'est plus clair.

pas vraiment car le code dans la citation n'est pas l'instruction de création d'un ROLE

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

CREATE ROLE SYSDBA

mais l'autre option (valable à partir de Firebird 2.1) sur le ON CONNECT

[Just-Soft]

pas vraiment car le code dans la citation n'est pas l'instruction de création d'un ROLE

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

CREATE ROLE SYSDBA

oui, mais c'était pas tellement difficile de voir ça

mais l'autre option (valable à partir de Firebird 2.1) sur le ON CONNECT

en fin de compte, j'ai opté pour ça ça résout le problème à plus de 90%.