Início / dba / Perguntas / 84204
Accepted
adopilot
Asked: 2014-12-04 09:16:21 +0800 CST

SQL Server: como criar usuário com acesso apenas de HOSTNAME ou endereço IP específico

  • 772

Eu tenho um aplicativo estúpido no qual confio, que tem uma string de conexão codificada dentro.

Para aumentar a segurança do meu SQL Server, adoraria tornar os usuários do SQL iguais a um aplicativo interno codificado, mas quero permitir que esse usuário possa usar o SQL Server apenas de determinado host (endereço IP).

sql-server sql-server-2012

2 respostas

  1. Best Answer

    Você pode usar um gatilho de logon para isso.

    CREATE TRIGGER TR_check_ip_address
ON ALL SERVER
FOR LOGON
AS 
BEGIN

    DECLARE @ip_addr varchar(48)

    SELECT @ip_addr = client_net_address
    FROM sys.dm_exec_connections
    WHERE session_id = @@SPID

    IF ORIGINAL_LOGIN() = 'bob' AND @ip_addr <> '127.0.0.1'
        ROLLBACK;

END

    Se você tentar se conectar a partir de um IP não autorizado, receberá um erro:

    Logon failed for login 'bob' due to trigger execution.

    Lembre-se de que os gatilhos de logon são potencialmente maléficos e também podem acabar bloqueando todos fora da instância. Tome cuidado!

    No entanto, acho que você realmente não precisa fazer isso. Se você deseja habilitar conexões de uma lista de endereços conhecidos, um firewall é a ferramenta mais adequada para o trabalho . A pior coisa que pode acontecer é o usuário errado se conectar a partir de um endereço IP conhecido, o que é bastante improvável se os usuários mantiverem suas credenciais com cuidado.

    Além disso, leve em consideração que os endereços IP podem ser falsificados, portanto, não tenho certeza de qual grau de segurança adicional você forneceria.

    • 6

  2. Você pode conseguir isso usando o gatilho de logon da seguinte forma

    USE master
GO
-- Create table to hold valid IP values
CREATE TABLE ValidIPAddress (IP NVARCHAR(15)
CONSTRAINT PK_ValidAddress PRIMARY KEY)

-- Declare local machine as valid one
INSERT INTO ValidIPAddress
SELECT '<local machine>'
-- Create Logon Trigger to stop logins from invalid IPs
CREATE TRIGGER tr_LogOn_CheckIP ON ALL SERVER
    FOR LOGON
AS
    BEGIN
        DECLARE @IPAddress NVARCHAR(50) ;
        SET @IPAddress = EVENTDATA().value('(/EVENT_INSTANCE/ClientHost)[1]',
                                           'NVARCHAR(50)') ;
        IF NOT EXISTS ( SELECT  IP
                        FROM    master..ValidIPAddress
                        WHERE   IP = @IPAddress )
            BEGIN
            -- If login is not a valid one, then undo login process
                SELECT  @IPAddress
                ROLLBACK --Undo login process
            END

    END

    Depois que o gatilho é criado, você pode encontrá-lo em Objetos do servidor -> guia Gatilhos

    Do meu blog connectsql.com

    • 4

relate perguntas