Firebird umoznuje uzivatelum prilis

[Karel Petru]

On Wed, Nov 09, 2005 at 03:02:56PM +0100, Vlada Macek wrote:
> Hezky den, tohle se primo netyka Linuxu, ale snad mi prominete.
> 
> Pouzivam balik databaze Firebird 1.5.1-4 z Debian Sarge, vsechny soubory fdb
> chci v /var/lib/firebird2/data a pristupne pouze pres aliasy ve
> /etc/firebird2/aliases.conf. Narazil jsem ale na tohle:
> 
> Utilitou GSEC vytvorim dva uzivatele U1 a U2, UID obou odpovida jejich UID v
> /etc/passwd. U1 vlastni u1.fdb a U2 zase u2.fdb (vlastnictvi prirazeno
> prikazem CREATE DATABASE). Kazdy si ve sve fdb udela nejake tabulky.
> 
> U1 nemuze udelat SELECT v tabulkach vytvorenych uzivatelem U2 v jeho db, ale
> muze mu tam vytvaret a selectovat nove tabulky. Taky vidi seznam vsech tabulek.
> 
> Umi Firebird tyto moznost uzivatelum odeprit? Chtel bych, aby k cele
> databazi daneho uzivatele mel pristup pouze on (a SYSDBA/root samozrejme) a
> nikdo jiny mu tam ani nekoukal a tim mene neco menil. Jde to nejak
> jednoduse? V dokumentaci ani na Netu jsem o tom nic nenasel.

Jeste jedna poznamka. Firebird podporuje pristup dvema zpusoby (obe metody
jsou na sobe nezavisle):

1) s udanim adresy serveru: localhost:/var/lib/firebird/data/data.fdb s
pouzitim autentikace pres ISC_USER, ISC_PASSWORD
2) primo: /var/lib/firebird/data/data.fdb s autentikaci pres usera z
passwd

Pri variante 1 rozhoduje nastaveni v security.fdb (GSEC), pri variante 2
pak prava k souboru. Varianta 2 je mozna pouze v Linuxu.
Lepe je tedy usery pro pristup na firebird vubec do passwd nedelat.

Jinak s UDF a spol neni treba mit strach - implicitne jsou DENY.

Bezpecnost u soucasne verze firebird ale neni nic moc. Pokud ma uzivatel
pravo v security.fdb je relativne neomezeny ve vytvareni
novych databazi v oblastech ktere patri userovi firebird.

--
Karel Petru
.
e-mail: fox na epos.cz