Bloquear Mi BD en Firebird

[[AzidRain]]

Lo de los triggers no le va a funcionar porque tendría que "soldar" el usuario dentro del código del trigger por lo que si después lo quiere cambiar será una lata.

Yo insisto que lo mas sencillo es proteger a nivel de Sistema operativo el directorio donde están alojadas los archivos de las bds de esta manera solo el administrador o quien se designe tendría acceso a esos archivos de otra manera sería imposible copiarlas, vamos ni siquiera ver que ahí están.

[[RONPABLO]]

aquí puede encontrar ideas de que hacer para proteger su bd

[[egostar]]

Puedes también realizar una pequeña aplicación donde ejecutes de forma sileciosa este comanado

Código:

gsec -user sysdba -pass masterkey -mo sysdba -pw nuevopassword

Esto no lo entiendo, como se haría ?????????

Cita:

Empezado por AzidRain

Yo insisto que lo mas sencillo es proteger a nivel de Sistema operativo el directorio donde están alojadas los archivos de las bds de esta manera solo el administrador o quien se designe tendría acceso a esos archivos de otra manera sería imposible copiarlas, vamos ni siquiera ver que ahí están.

Salud OS

[Neftali [Germán.Estévez]]

Cita:

Empezado por AzidRain

Yo insisto que lo mas sencillo es proteger a nivel de Sistema operativo el directorio donde están alojadas los archivos de las bds de esta manera solo el administrador o quien se designe tendría acceso a esos archivos de otra manera sería imposible copiarlas, vamos ni siquiera ver que ahí están.

Pero eso no tiene mucho sentido, desde el punto de vista de la Base de Datos.
¿Estamos hablando de Firebird?
No puede ser que una Base de Datos (un SGBD) del que todo el mundo habla fantásticamente y lleva un buen puñado de años en el mercado (como mínimo 8 desde que se liberó IB) base su seguridad en que se proteja el directorio de los ficheros desde el sistema operativo.

Algo debemos estar haciendo mal.

[Neftali [Germán.Estévez]]

Vale. ¡¡Pues sí puede ser!! Ahora me he quedado de piedra.

¿Cómo funciona la seguridad en Firebird?
Este tema de la seguridad de Firebird (e InterBase) se ha discutido mucho, pero hay que entender el fondo. InterBase fue diseñado como un software servidor de base de datos cuya seguridad se encuentra basada en la seguridad física del servidor. Es decir, se diseñó para que se instalara en una máquina (el servidor) y se utilizara siempre (para esa aplicación) en ese servidor. Por eso su modelo de seguridad requiere que los usuarios se den de alta en el servidor y si hay que cambiar de servidor o de lugar la base de datos, se tendrán que volver a agregar los usuarios en el nuevo servidor.
Ahora que Firebird es más popular, y habiendo heredado ese modelo de seguridad, queremos desarrollar aplicaciones con otro modelo de seguridad, por ejemplo, que se puedan portar de un lugar a otro y que se incluyan los usuarios dentro de nuestra aplicación, por lo que el modelo de seguridad original no es adecuado para ese tipo de aplicación.
También hay muchas preguntas sobre la "vulnerabilidad" de los datos, ya que si alguien copia una base de datos de un servidor a otro, podrá acceder a esa B.D. usando "SYSDBA" y "masterkey".
Pero por ello hay que entender el modelo de seguridad original, y en base a ello sacar nuestras conclusiones. Ni Firebird ni InterBase son vulnerables, ya que una vez instalados en un servidor, y cambiada la constraseña del SYSDBA y teniendo la seguridad física del servidor y el acceso físico al archivo de base de datos controlados, es un software muy seguro.
Este es un ejemplo más -como en la mayoría del software- de que los requisitos van evolucionando, y no dudamos que si llega a ser algo muy solicitado, los desarrolladores de Firebird modificarán el modelo de seguridad. Mientras tanto, entendamos que Firebird tiene un modelo de seguridad seguro, confiable y práctico, siempre y cuando se entiendan sus fundamentos.

Osea que sí que FB depende de la seguridad que implemente el Sistema Operativo sobre los ficheros de datos.

¡¡Qué chasco!!

AÑADO: Fuente del texto.

[Casimiro Notevi]

Si tenemos un servidor con TODO cerrado menos el puerto 3050 ¿quién puede acceder él?... nadie, de ninguna forma.

Hay que tener en cuenta que no hace falta compartir nada en el servidor, ni recursos, ni directorios, ni nada de nada.

Incluso podemos usar 'alias' para las conexiones, por lo que los usuarios/clientes ni siquieran tendrán idea de dónde está realmente el servidor ni cuál es.

Ahora bien, ¿de qué sirve el mejor sistema de seguridad si tenemos en la aplicación una opción de copia de seguridad accesible para todo el mundo?

[Neftali [Germán.Estévez]]

Supongo que se diseñó pensando en servidores dedicados; El problema es que eso hoy en día no es habitual. Sí (tal vez) para aplicaciones muy grandes, pero no para mediana/pequeñas.

[Casimiro Notevi]

Cita:

Empezado por Neftali

Supongo que se diseñó pensando en servidores dedicados; El problema es que eso hoy en día no es habitual. Sí (tal vez) para aplicaciones muy grandes, pero no para mediana/pequeñas.

Efectivamente, se diseñó para servidore dedicados, pero las pequeñas y medianas empresas, de ahora, también está bien que tengan un servidor dedicado, nosotros (en mi trabajo) hacemos todas las instalaciones de esa manera, salvo en pequeñitos comercios que tienen uno o dos equipos y se aprovecha uno de ellos para hacer de servidor, pero en esos casos no creo que estén demasiado preocupados por si alguien pueda leer sus datos.

Aunque, de todas formas, creo haber leído que las últimas versiones de firebird implementan un nuevo sistema de seguridad en la base de datos, no recuerdo a partir de qué versión.

[Neftali [Germán.Estévez]]

Depende de las conexiones, pero con las máquinas que hay hoy en día, tener un servidor dedicado sólo para el SGBD es tenerlo "muerto de risa".

[juanelo]

Cita:

Empezado por Casimiro Notevi

Efectivamente, se diseñó para servidore dedicados, pero las pequeñas y medianas empresas, de ahora, también está bien que tengan un servidor dedicado, nosotros (en mi trabajo) hacemos todas las instalaciones de esa manera, salvo en pequeñitos comercios que tienen uno o dos equipos y se aprovecha uno de ellos para hacer de servidor, pero en esos casos no creo que estén demasiado preocupados por si alguien pueda leer sus datos.

Estoy totalmente de acuerdo con esto, y mas si evaluamos los costos que hoy representa tener una maquina dedicada, hoy dia ese costo es muy bajo, ya que firebird ya sea en su version windows o linux requieren de muy pocos recursos y por lo tanto el equipo en donde resida puede ser uno de mediano desempeño, pero al ser dedicado grarantiza un buen desdepeño para los usuarios.
Ahora bien, hay que ser realistas, la empresa que en verdad tiene informacion sensible en su base de datos, no confía solamente en la seguridad que esta le preste, la mayoria de estas empresa invierte dinero para endurecer su seguridad de manera fisica.
Para mi, lo que hasta hoy dia ofrece FB es suficiente, claro que si hacen algo para mejorar el aspecto de seguridad pues bienevenido.
Saludos