任何服務器安全與功能是兩個主題。作為企業信息化安全人員，其主要任務便是怎么樣在確保服務器功能前提下又進步服務器安全性。而要做到這一點，服務器的拜訪權限操控戰略無疑是其間的一個重要環節。筆者企業近上了一臺新的數據庫服務器，我為他規劃了一些權限操控手段。這些辦法雖然不能夠百分之百的確保數據庫服務器的安全性，可是，這些仍然是數據庫服務器安全戰略中必不可少的要素。他對進步數據庫服務器的安全性有著不可磨滅的效果。

 

　　其實這些操控戰略，不光對數據庫服務器有用；對其他的使用服務器仍然具有參考價值。

 

　　1、給用戶頒發其所需求的小權限

 

　　不要給數據庫用戶供給比其需求的還要多的權限。換句話說，只給用戶真實需求的、為高效和簡潔地完結作業所需求的權限。這個道理很簡單了解。這就好像防止職業貪婪一樣。

 

　　如從數據庫服務器的視點來考慮這個問題，這就要求數據庫辦理員在設置用戶拜訪權限的時分，注意如下幾個方面的問題。

 

　　一是要約束數據庫辦理員用戶的數量。在任何一個服務器中，辦理員具有高的權限。為了讓數據庫維持正常的運轉，有必要給數據庫裝備辦理員賬戶。不然的話，當數據庫呈現毛病的時分，就沒有適宜的用戶對其進行保護了。可是，這個辦理員賬戶的數量要嚴厲進行約束。不能為了貪圖方便，把各個用戶都設置成為辦理員。如筆者企業，在一臺數據庫服務器中運行著兩個實例，可是，只有一個數據庫辦理員擔任數據庫的日常保護。所以，就只有一個辦理員賬戶。

 

　　二是選擇適宜的賬戶連接到數據庫。一般數據庫的拜訪權限能夠經過兩種辦法進行操控。一是經過前臺使用程序。也便是說，其連接到數據庫是一個一致的賬戶，如辦理員賬戶；可是，在前臺使用程序中設置了一些關卡，來操控用戶的拜訪權限。這種辦法雖然能夠減少前臺程序開發的作業量，可是，關于數據庫服務器的安滿是不利的。二是在前臺程序中，就直接使用職工賬戶的賬號登陸到數據庫體系。這種做法雖然能夠進步數據庫的安全性，可是，其前臺裝備的作業量會比較繁瑣。而筆者往往選用折中的辦法。在數據庫中有兩類賬戶，一類是辦理員賬戶，只有前臺體系辦理員才能夠使用這類賬戶登陸到數據庫體系。別的一類是一般賬戶，其雖然能夠拜訪數據庫中的所有非體系目標，可是，他們不能夠對數據庫體系的運行參數進行修正。然后詳細數據目標的拜訪，則經過前臺使用程序操控。如此，前臺使用程序一般職工只需求經過同一個賬戶連接到數據庫體系。而體系辦理員若需求進行體系保護，如數據庫體系備份與還原，則能夠經過數據庫辦理員賬戶連接到數據庫體系。則即方便了前臺使用程序的裝備功率，又進步了數據庫服務器的安全性。總之，我們的目的便是要約束以數據庫辦理員身份連接到數據庫的用戶數量。

 

　　在其他使用服務器中，也有辦理員賬戶與一般賬戶之分。在權限分配的時分，也好只給用戶頒發其需求的小權限，以確保數據庫服務器的安全。

 

　　2、取消默許賬戶不需求的權限

 

　　在建立賬戶的時分，服務器往往給給其一些默許的權限。如在數據庫中，Public是頒發每個用戶的默許人物。任何用戶，只要沒有指定詳細的人物，則其都能夠頒發Public組的權限。這其間，還包括履行各種SQL句子的權限。如此，用戶就有或許使用這個辦理漏洞，去拜訪那些不允許他們直接拜訪的包。因為這個默許權限，關于那些需求他們并且需求適宜裝備和使用他們的使用來說，是非常有用的，所以，體系默許情況下，并沒有禁止。可是，這些包或許不適合與其他使用。故，除非絕對的需求，不然就應該從默許缺點中刪除。

 

　　也便是說，一般某個賬戶的默許權限，其是比較大的。如關于數據庫來說，其賬戶的默許權限便是能夠拜訪所有的非體系目標表。數據庫規劃的時分，主要是為了考慮新建用戶的方便。并且，新建用戶的時分，數據庫確實也無法辨認這個用戶究竟能夠拜訪哪些用戶目標。可是，關于企業使用體系來說，若給每個職工都默許具有這么大的拜訪權限，那則是很不安全的。

 

　　筆者的做法是，會把使用體系的默許用戶權限設置為小，有些甚至把默許用戶權限全部取消掉。這就迫使服務器辦理員在建立賬戶的時分，給賬戶指定辦理員預先設定的人物。這就能夠有用的防止辦理員“偷閑”。在建立賬戶的時分，不指定人物。