none
Abrir en modo lectura RRS feed

  • Pregunta

  • Programo en .net y tengo que abriir a internet una bbdd, ademas la cadena de conexion estara expuesta, no controlo mucho de sql server pero a ver si alguien me puede hacer una indicacion de que tendria que hacer para limitar la bbdd a solo lectura.

    Imagino que sera cosa de dar permisos a un inicio de sesion o asi pero no querria meter la pata.

    martes, 26 de marzo de 2019 14:59

Respuestas

  • Hola Cid105:

    Como dices, si creas un inicio de sesión de rol datareader, no podrá escribir en la bbdd.

    Rol para la base de datos.

    Pero es no evita, que la exposición pública del servidor sea un agujero grave de seguridad.

    select * from dbo.AWBuildVersion
    go

    update dbo.AWBuildVersion set ModifiedDate = GETDATE()
    go
    Mens. 229, Nivel 14, Estado 5, Línea 3
    Se denegó el permiso UPDATE en el objeto 'AWBuildVersion', base de datos 'AdventureWorks', esquema 'dbo'.
    insert into dbo.AWBuildVersion ([Database Version], VersionDate,ModifiedDate)
    values 
    ('14.0.1000.169',GETDATE(), GETDATE())
    go
    Mens. 229, Nivel 14, Estado 5, Línea 5
    Se denegó el permiso INSERT en el objeto 'AWBuildVersion', base de datos 'AdventureWorks', esquema 'dbo'.


    • Marcado como respuesta Cid105 martes, 26 de marzo de 2019 21:40
    martes, 26 de marzo de 2019 17:27
  • Que tu le cierres la escritura a ese usuario, no quiere decir, que como la instancia del servidor reciba peticiones por un puerto, ningún programa la ataque para poder entrar.

    Un ejemplo típico, con el nombre del servidor /instancia /ip expuesto al público, te pueden intentar realizar ataques desde infinidad de equipos, solicitando conexión como usuario sa, hasta que se consiga una contraseña. Y aunque no rompan tu seguridad, si la máquina esta trabajando extra para atender esas solicitudes erróneas.

    • Marcado como respuesta Cid105 miércoles, 27 de marzo de 2019 17:15
    martes, 26 de marzo de 2019 23:19

Todas las respuestas

  • Hola Cid105:

    Como dices, si creas un inicio de sesión de rol datareader, no podrá escribir en la bbdd.

    Rol para la base de datos.

    Pero es no evita, que la exposición pública del servidor sea un agujero grave de seguridad.

    select * from dbo.AWBuildVersion
    go

    update dbo.AWBuildVersion set ModifiedDate = GETDATE()
    go
    Mens. 229, Nivel 14, Estado 5, Línea 3
    Se denegó el permiso UPDATE en el objeto 'AWBuildVersion', base de datos 'AdventureWorks', esquema 'dbo'.
    insert into dbo.AWBuildVersion ([Database Version], VersionDate,ModifiedDate)
    values 
    ('14.0.1000.169',GETDATE(), GETDATE())
    go
    Mens. 229, Nivel 14, Estado 5, Línea 5
    Se denegó el permiso INSERT en el objeto 'AWBuildVersion', base de datos 'AdventureWorks', esquema 'dbo'.


    • Marcado como respuesta Cid105 martes, 26 de marzo de 2019 21:40
    martes, 26 de marzo de 2019 17:27
  • Gracias por tu respuesta, en que sentido puede comprometer la seguridad exponer el servidor?
    martes, 26 de marzo de 2019 21:47
  • Que tu le cierres la escritura a ese usuario, no quiere decir, que como la instancia del servidor reciba peticiones por un puerto, ningún programa la ataque para poder entrar.

    Un ejemplo típico, con el nombre del servidor /instancia /ip expuesto al público, te pueden intentar realizar ataques desde infinidad de equipos, solicitando conexión como usuario sa, hasta que se consiga una contraseña. Y aunque no rompan tu seguridad, si la máquina esta trabajando extra para atender esas solicitudes erróneas.

    • Marcado como respuesta Cid105 miércoles, 27 de marzo de 2019 17:15
    martes, 26 de marzo de 2019 23:19