Безопасность: уровень доступа к файлам БД

[ds]

Много времени уделили безопасности галактической базы, разграничили уровни доступа для пользователей, позакрывали лишние пункты меню, и т.д. и т.п.. В общем средствами Галактики сделали все возможное.

На сегодняшний момент осталась только одна проблемка - с каким уровнем безопасности расшарить директорию с БД (Data). Сейчас стоит полный доступ на всю Дату, а это не есть хорошо. Всем известно - убей D_dict и заходи без паролей. Меня инетересует, какие папки в Дате как расшаривать.

[sim]

А шифровать таблицы не пробовали? (под битрив). Как пишут в доке - это позволит защитить от несанкционированного доступа, даже если убить таблы с правами.

P.S. предупреждаю - не пробовал. кто его знает, что за бяка такая. зашифруешь - сам не влезешь потом

[ds]

Хотелось от любых несанкционированных действий защитить непосредственно файлы БД. Так что одной шифровкой не обойдешься...

[ALEKS123]

Вообще-то данный вопрос находится в плоскости информационной безопасности предприятия в целом.
Фантазирую.... Какой-нибудь супостат, засланный казачок, пришел с ZIPом, скачал 3-4 дирректории и пожалуйста - все клиенты, все отгрузки, вся финнансовая составляющая предприятия известна....Так что, на мой взгляд, вопрос непростой.....

[forsit]

Меня тоже интересует данная проблема.
Хотел от нее избавится путем создания юзеров в pssql 2000 и там дать права на таблы, а самим юзерам закрыть непосредственный доступ к файлам БД - но это на теории. А возможно ли это на практике? ???

[Grom]

ALEKS123, всё верно но только зачем с ZIPом? Зип ещё куда-от воткнуть надо. А "Все клиенты, все отгрузки и вся финнннанасовая составляющая предприятия" могут быть получены простым формированием отчётов и копированием их на дискету.
Далее тоже фантазирую ... Например, казачок засланный принёс свой домашний USER.RES на дискетке, подключился с ним к Галактике, и формируй "свои любимые" отчеты, хоть FCOM-овские, хоть ARD-шные, хоть VIP-овские и скидывай их на дискетку. Чай таблицы-то доступны НА ЧТЕНИЕ все
Ну а если Базу или её часть захотелось, то современные носители информации (ZIV: 20Гб. ~100x80x7мм. - для всей Базы или USBDRIVE до 1Гб и размером с зажигалку Cricket - для "части" Базы ) подключаемые через USB и имеющие скорость записи приближающуюся к HD наиболее "удобны и практичны" для таких целей. Тем более что USB в любом современном компьютере присутствует так же как COM или LPT, причём USBDRIVE может подключаться и отключаться в "горячую", а в Win2000 и > даже драйверов никаких не надо - автоматом подключается как ещё один диск. И можно прямо с него запускать файлы на выполнение и прочая ... прочая ... прочая. Про ZIV точно не знаю, кроме того что питание у него от разъёма клавиатуры (через переходник), стоит в нём маленький HD от Fujitsu, интерфейс - USB и цена ~200$.

[Grom]

ds, файлы БД защитить непосредственно можно пожалуй только от удаления.

[oleksa]

Данную задачу можно решить заменой платформы Первасив на Оракл или MS SQL.

[andreyedemsky]

На курсах успешно опробован следующий метод (W2K):
1) Даете полные права на DATA себе любимому (группе администраторов). Это лучше сделать сразу, чтобы потом геморроя не было
2) отключаете наследование прав доступа, на запрос что делать с наследованными правами - "Копировать"
3) Пользователю Everyone на папку "DATA" оставляем право "LIST", все остальные отменяем (НЕ ЗАПРЕЩАЕМ, А ТОЛЬКО ОТМЕНЯЕМ - это важно).
4) (опционально) Создаете пользователя "PWSVSERVER"
5) Пользователю "PWSVSERVER" также выдаются полные права на DATA (если пользователя не заводили, то это будет SYSTEM и пункт 6 пропустить)
6) Если пользователя таки создали, то идем в сервисы и объясняем сервисам первасива, что они будут работать от имени "PWSVSERVER"
7) Права всех пользователей, не перечисленных выше, на каталог DATA -аннулировать (ради этого момента мы отключали наследование прав).
Enjoy.
Заодно про каталог EXE. Оставляем всем кроме администратора только чтение-листинг. За исключением CONTCOMP.IFS, на который дадим право на модификацию, чтобы галактика не ругалась.
Enjoy again.

[peter]

Пробую установить безопасность, как пишет Andrey.
W2KSRV SP2, PV SP3.
Pervasive упорно отказывается работать с БД от имени своих сервисов.
Во первых, на папку TMP требует запись сразу (естественно).
При установленных правах List "Всем" на DATA - ошибка соединения с БД.
Если "Всем" дать чтение/выполнение, то Галактика грузится, но при любой попытке записи идет ругань.
В-общем, работают только права пользователя.

Может как-то надо настроить сам Pervasive, или в конфигах Галактики что-то прописать?