Hallo,

ich habe ein Problem bezüglich der Sicherheit mit einem Firebird DB-Server.
Bei Firebird werden ja die Benutzer samt Passwort in der fbsecurity (oder so ähnlich) Datenbank
gespeichert. Kopiert man seine eingne oder fremde Datenbankdatei z.B. text.gdb in eine frische Installation
von Firebird, so kann man ja normal über SYSDBA und masterkey auf diese fremde Datenbankdatei zugreifen.

Wie kann ich das nun verhindern? Ist es so, dass der jenige User, der bei Firebird angemeldet ist und die Tabellen, Views
etc. erstellt der einzige ist der Rechte an diesen Tabellen, Views etc. hat bis man über GRANT andere berechtigt?

Wenn ja, muss ich da nur einen neuen USER z.B. MyADMIN anlegen, alle Tabellen etc. mit diesem user erstellen und schon ist das Ding sicher?

Vielleicht könnt ihr mir ja nochmal das Sicherheitskonzept von Firebird erklären. Hab schon in der Dokumentation von IB 6 gelesen und sonstige Dinge gesucht. Ich verstehs aber irgendwie nicht so recht.

Hi,

Du hast nen Benutzer "FBUser" angelegt, mit dem Du die Tabellen,... anlegst und von der Client-Seite (Delphiprogramm) auf die Datenbank zugreifst. Der Sysdba kann nun alles mit der DB machen was er will. Ist auch sinnvoll, denn der Sysdba ist i.d.R. für die Backups verantwortlich. Zudem kannst Du im Notfall immer noch auf die Daten zugreifen wenn Du das Passwort für den User verloren hast.

Nun das Beste: Wenn es jemand schafft auf Deinem Server seine eigene security.fdb zu platzieren, dann kann er ebenfalls alles machen, denn er hat ja das Passwort seines Sysdba! Deshalb ist es auch sehr wichtig, nur solchen Usern Zugriff auf den Server zu geben, die vertrauenswürdig sind, bzw. Sicherheitslücken so schnell wie möglich zu beseitigen (u.a. die Laufwerksfreigaben des FB-System Laufwerks).

Ich glaube aber irgendwo gelesen zu haben, wie man die eigenen Tabellen/SP schützen kann, finde den Artikel aber auf die Schnelle nicht. Vielleicht hilft Dir einer der Linsk weiter:

http://www.volny.cz/iprenosil/interbase/
http://www.interbasetools.de/

Lemmy

Hi Generalissimo,

Dem pflichte ich uneingeschränkt bei!

Es geht aber noch weiter: Wenn es jemand (aufgrund unzulänglicher, BS-seitiger Absicherung - siehe Zitat) schaffen sollte, die Datenbankdatei (fdb oder gdb) zu kopieren und lokal abzulegen und sich dann über einen FB embedded Server Zugriff auf die Datenbank verschafft, dann hast Du imho verloren! Denn wenn der Zugriff über einen embedded Server läuft, wird die "Benutzer- und Passwortprüfung" umgangen ! Eine Anmeldung als SYSDBA (ohne Kennwort) ist möglich und somit ist die Datenbank offen, wie ein Scheunentor!!! Der embeded FB Server benötigt keine security.fdb!

Hi Leute,

hm das klingt ja alles nicht so toll. Trotz seiner kostenlosen und sehr guten Fähigkeiten (Trigger, Versioning etc.) ist also das Firebird DBMS für kommerzielle Elemente eher ungeeignet. Meiner Erfahrung nach (das hab ich inzwischen bei einigen größeren Firmen gesehen) ist das ausschließen Dritter eher nicht gegeben. Bei manchen stehen die Server eben genauso weit offen.

Hm dann müsste sich meine Firma also vertragsrechtlich dahingehend absichern.

Weiß jemand ob für Firebird in höheren Versionen geplant ist, das Security-Prinzip (User, UserRights) in die DB mitaufzunehmen und nicht mehr zentral?

Hi,

sind denn die anderen DBMS da besser? Ein ungeschützter Zugriff auf den Datenbankserver ist immer ein GAU, egal welches DBMS darauf läuft! Außerdem kannst Du doch für jeden Benutzer den Du Firebird bekannt gibts Rechte zuweisen, wer auf welche Tabelle wie zugreifen darf usw. Mehr braucht man doch auch gar nicht, oder??

Lemmy