Ingresar
Debates recientes
Respuestas recientes
Estadísticas del Foro
- Usuarios registrados
- 11.271
- Foros
- 38
- Debates
- 919
- Respuestas
- 60
- Etiquetas de debate
- 51
Inicio › Foros › Base de Datos › Administración (Database) › Seguridad – Conexión a la BD
- Este debate tiene 0 respuestas, 1 mensaje y ha sido actualizado por última vez el hace 16 años, 7 meses por mpalacios_pe.
-
AutorEntradas
-
-
04/29/2008 a las 2:15 PM #2202mpalacios_peSuperadministrador
Hola, el problema de que accedan los desarrolladores por la necesidad del entorno de validacion tambien lo tuve.
Te comento lo que hice, quizas te pueda servir.
En mi aplicacion , se cargaba el sistema por el ejecutable sistema.exe
Ese sistema.exe leia un archivo ini, el cual contenia el usuario dueño del esquema del sistema (owner) y su password.
Los 100,200…etc usuarios cargaban el sistema.exe, y se conectaban al oracle porque este ejecutable leia el archivo ini y de ahi cargaba el oracle user propietario (owner) y el password.
PRIMER CAMBIO.
Cree un usuario oracle (distinto al owner), le di los privilegios basicos (connect, resource, etc), y le di
los permisos necesarios (select,insert,update,delete ) sobre tablas y vistas -segun fuera el caso- y permisos (execute) sobre procedures y functions.
dado que este nuevo usuario oracle es un SCHEMA disntinto al owner, cree sinonimos de todos los objetos a los que les estaba dando permiso.
Una vez que tuve validado eso, puse ese oracle user y password en el archivo ini. asi evite que los programadores lo leyeran.
SEGUNDO CAMBIO.
si bien es cierto gane con lo anterior no entregar el owner de la aplicacion, existia el riesgo todavia de que obtuviesen este password, por encontrarse en un archivo.ini en un servidor ajeno.
Por lo que estos permisos que los habia dado directo a este nuevo oracle user, los retire, y los entreguea un rol de oracle , este rol lo entrega el exe, pero para ello, el store que lanza el exe para dar el rol al nuevo usuario oracle, debe validar que se llame este aplicativo desde un ip valido, esto evita que asi lean el usuario y el password desde los ips de los desarrolladores.
Hasta el momento y con una mejora adicional que fue retirar el uso de sinonimos me ha ayudado bastante en el problema que mencionas.
-
-
AutorEntradas
- Debes estar registrado para responder a este debate.