Seguridad de la base de datos: eliminar la función de superusuario

2

Recientemente escuché en una conferencia IT-SEC, que una buena idea para proteger la base de datos (probablemente contra un ataque de escalada de privilegios) es eliminar la función de superusuario y dejar solo las funciones de usuario.

Me imagino que como eliminar por ejemplo. posibilidad de un registro no shell de la cuenta del sistema de la base de datos y dejar solo las bases de datos y los usuarios donde solo tienen permisos en las bases de datos asignadas.

¿Hay algún principio de seguridad que coincida con esta declaración? No estoy convencido, este es el enfoque correcto.

    
pregunta Marek Sebera 19.03.2013 - 12:49
fuente

2 respuestas

2

En tu caso; El problema que puedo hacerme entender está relacionado con Control de acceso . Como otros han mencionado el principio del privilegio mínimo, existe un concepto similar llamado "separación de deberes". Este último concepto se asigna con el concepto de privilegio mínimo de una manera en que una aplicación está diseñada para limitar el acceso al usuario en función de su descripción del trabajo.

El principal razonamiento detrás de este concepto es no permitir que un solo usuario / administrador ponga en peligro toda la seguridad.

Funciona igual de bien si has visto la caza del octubre rojo, allí donde el capitán del submarino y el manejador de claves tienen dos pares de claves necesarias para activar misiles nucleares.

Por ejemplo, en el contexto de la base de datos significa cerrar las vías a las que un DBA puede acceder al sistema operativo subyacente, o eliminar las instalaciones que los administradores de TI utilizan para acceder a la base de datos, hace que sea menos probable que un atacante pueda ponerlo en peligro.

Lo mismo se explica mejor en el artículo tomado Segregación de DBA y derechos de administración

  

No instale la base de datos en la cuenta de administrador de TI local. Esto significa que la base de datos es el administrador local, y el DBA tiene derechos de administrador en la plataforma local. De manera similar, si la base de datos se instala como el administrador de TI local, entonces el administrador puede ejecutar los comandos de la base de datos. Desea que la base de datos se ejecute como un usuario independiente que no sea el administrador del dominio o de la plataforma local. Y desea que los archivos y los archivos de la base de datos sean legibles solo por la cuenta en la que está instalada la base de datos.

    
respondido por el Saladin 19.03.2013 - 14:54
fuente
3

No estoy seguro de que Least Privilege sea necesariamente el término correcto, ya que menos privilegio tiene más que ver con dar a un caso de uso particular más acceso del que necesita, pero es un principio bastante establecido que si no se usa una característica Por cualquier caso de uso, debería estar deshabilitado.

La seguridad consiste en equilibrar el riesgo frente a la usabilidad. Si una característica tiene la capacidad de ser abusada y no se usa, entonces es un riesgo fácil de equilibrar. Ya que no hay beneficio y hay riesgo, lo eliminas. Si existe un beneficio, entonces el beneficio de la característica debe evaluarse en comparación con el riesgo de una escalada de privilegios que logre obtener esa funcionalidad.

    
respondido por el AJ Henderson 19.03.2013 - 14:33
fuente

Lea otras preguntas en las etiquetas