Firebird umoznuje uzivatelum prilis

[Jan Houstek]

On Wed, 9 Nov 2005, Vlada Macek wrote:
> Pouzivam balik databaze Firebird 1.5.1-4 z Debian Sarge, vsechny soubory fdb
> chci v /var/lib/firebird2/data a pristupne pouze pres aliasy ve
> /etc/firebird2/aliases.conf. Narazil jsem ale na tohle:
>
> Utilitou GSEC vytvorim dva uzivatele U1 a U2, UID obou odpovida jejich UID v
> /etc/passwd. U1 vlastni u1.fdb a U2 zase u2.fdb (vlastnictvi prirazeno
> prikazem CREATE DATABASE). Kazdy si ve sve fdb udela nejake tabulky.

Systemovi uzivatele jsou Firebirdu ukradeni, dokud proces firebirdu bezi
pod uzivatelem, ktery muze sahat do databazovych souboru. To se tyka obou
dostupnych architektur (superserver i classic).

Rozhodne je rozumne omezit serveru moznost hrabat se kdekoliv po disku,
kde si klient zamane -- direktiva DatabaseAccess v firebird.conf,
doporuceno nastavit na hodnotu Restrict /path/to/firebird/databases

To same, mozna jeste s vetsi nalehavosti, plati o UDF knihovnach (aneb
libovolnem kodu), ktery je server ochotny spustit -- direktiva UdfAccess.

> U1 nemuze udelat SELECT v tabulkach vytvorenych uzivatelem U2 v jeho db,
> ale muze mu tam vytvaret a selectovat nove tabulky. Taky vidi seznam
> vsech tabulek.

Tohle zalezi na databazovych privilegiich. Prectete si poradne dokumentaci
k gsec a GRANT v SQL.

> Umi Firebird tyto moznost uzivatelum odeprit?

Samozrejme.

-- Honza Houstek