继我最初的StackOverFlow 问题之后,我们正在尝试创建一个 SQL 用户(在许多 2000、2005 和 2008 服务器上),它具有执行简单“心跳检查”以确保实例仍然存在的最低可能权限。我们已经确定脚本执行一个简单的“SELECT @@VERSION”。
不过,以“最小允许权限”的名义,我们希望阻止该用户(几乎)做任何其他事情。不幸的是,即使没有添加任何显式权限,PUBLIC 角色(所有用户都是其成员)也可以做很多事情。具体来说:
SELECT * FROM SYSDATABASES
好的,我可以显式地将用户添加到 MASTER 数据库中的 db_denydatareader 角色中,以防止读取任何系统表
SP_WHO
好的,我可以明确拒绝 SP_WHO 上的所有内容,但是 SP_WHO2 和所有其他系统存储的过程呢?我必须明确否认所有这些吗?
因此,由于用户不能从 PUBLIC 角色中删除,还有其他方法可以阻止系统存储过程的运行,而不是对每个人都明确拒绝?
系统存储过程是否值得担心?除了 sp_who 之外我真的不希望该用户能够看到的任何内容?
你没事。只是不要授予您的“心跳”帐户访问任何数据库的权限。
想想看——你正在运行的 SELECT @@VERSION 命令是那些存储过程的一部分——所以你需要建立一个所有其他内置函数的完整列表,并专门阻止对它们的访问。对您的数据库服务器没有写入权限且对您的数据库没有读取权限的用户不会造成任何破坏。
在 SQL 2005 及更高版本中,虽然用户可以查询系统对象,但他们只能看到他们有权访问的信息。对于 sys.databases,您只能看到您有权访问的数据库。当您运行 sp_who 时,您只会看到有关您的会话的信息。
要锁定您想要的级别(我回答了您的另一个问题),您最终会破坏事物。
我真的不同意你的意图。
我也会将心跳与健康监测器结合起来。例如查找块、记录 CPU、使用 dmv 等
我也希望您对网络、服务器、PC 等的其他部分给予尽可能多的关注。
例如,仅 SQL Server,您是否使用服务器端 SQL Server 协议加密?只使用tcp?使用组策略限制谁可以访问服务器?SQL 登录遵循域密码策略?SQL 服务帐户被锁定?