SQL Server 安全篇——数据层面安全性(2)——所有权链接( Ownership Chaining)

最新推荐文章于 2020-02-25 12:22:29 发布
置顶 最新推荐文章于 2020-02-25 12:22:29 发布
阅读量914 收藏
点赞数
分类专栏: 数据库管理 DBA 安全 SQL Server Security 文章标签: SQL Server DBA 安全 数据
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/dba_huangzj/article/details/79092888
版权
数据库管理 同时被 3 个专栏收录
277 篇文章 39 订阅
订阅专栏
DBA
186 篇文章 6 订阅
订阅专栏
安全
65 篇文章 0 订阅
订阅专栏

本文属于SQL Server安全专题系列



 接上文:SQL Server 安全篇——数据层面安全性(1)——架构

Ownership Chaining


 SQL Server 2016提供了一种叫行级安全性(row-level security,RLS)的功能,但是这种功能是比较有限制的,标准的方式是使用视图或存储过程来限制数据返回。并且通过对视图或存储过程的授权,可以使得用户不需要直接访问底层实体表。 
 这种方式的实现基础来自于一个叫“所有权链接(Ownership Chaining)”。当多个对象被一个查询顺序调用时,SQL Server会把这个视为一个链。当你把对象“链”在一起时,权限检查则会变得很复杂,特别是要依据对象的“架构”。
 比如有一个视图V1,访问两个表:t1和t2。如果三个对象都属于同一个拥有者,那么在SELECT视图时,视图会对调用者进行权限校验,但是在表上的权限则不会进行校验。意味着如果想授权另一个用户UserB对表T1的特定行有访问权限,可以创建一个视图并查询用户被允许的那些行。此时,用户可以借助视图来返回数据而不用直接访问表。
 但是所有者链接也会在某些时候发生中断,按前面的说法,就是在不同的拥有者情况下。SQL Server需要对这些不同的拥有者进行权限校验,如果用户没有权限访问某些底层表时会报错。在大部分情况下ownership chaining是一个好东西,因为它可以让你建立一个保护访问资源的机制。但是某些时候也会破坏安全性,因为Ownership chains会导致DENY设置被绕过,原因是权限校验不会对GRANT或DENY进行。

Cross DB Ownership Chaining


到Ownership Chaining,那就要顺带提一下Cross db Ownership Chaining,前面提到的是库内的Ownership Chaining,Cross DB Ownership Chaining则是在实例层面跨库的所有权链接。如果cross db Ownership Chaining=0则禁用跨库所有权链接,1则为启用。可以通过SELECT is_db_chaining_on, name FROM sys.databases;来查询是否启用。
由于安全原因,微软并不建议启用这个只有sysadmin角色成员才能控制的功能,除非所有库都必须参加。

 假设一个服务器上有不同项目的库,彼此之间不应该互访,此时有一个库A的存储过程P1想访问库B的数据。如果开放了Cross db Ownership Chaining,那么B会放行P1访问,这就会导致不必要的安全风险。


小结


 Ownership Chaining 通过对某个对象(如视图)的权限配置来允许管理多个对象(如表)的访问,在某些情况下对性能也有少许提升(因为权限检查必然需要消耗时间和资源)。它对管理对数据库的权限时非常有用,但是如果SQL Server认为某个用户授予了对访问链中第一个对象(视图)的权限,就会认为这个用户也有共享该视图所引用的所有视图和表的权限。在正式环境下是这种“认为”是不成立和不合理的。因此,首先不要在某些对象中引用过多对象和嵌套引用,这会加大安全风险跟问题侦测工作量。其次,可以考虑借用2016引入的RLS功能。
 另外,特权用户可以使用跨数据库所有权链接来访问自身数据库之外的数据库对象,只需要在需要访问的库B中创建一个本库A已存在的db_onwer成员的用户,然后在A中创建一个调用B中用户可访问的对象,即可绕过权限来访问不应该访问的资源。这就会带来不安全性。
發糞塗牆
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SQL Server 数据安全性
Vaska_的博客
04-18 321
6、强制存取控制方法 在强制存取控制中,数据库管理系统所管理的全部实体被分为主体和客体两大类 主体是系统中的活动实体 项数据库管理系统所管理的实际用户 客体是系统中的被动实体 文件、基本表、索引、视图 敏感度标记 对于主体和客体,DBMS为它们每个实例(值)指派一个敏感度标记: 绝密(Top Secret,TS) 机密(Secret,S) 可信(Confidential,C) 公开(Public,P) TS>=S>=C>=P 强制存取控制规则: ①仅当主体的许可证级别大于或等于客体的密级
SQL Server安全(7/11):使用跨数据所有权(Cross-Database Ownership Chaining)的跨数据安全...
weixin_34301132的博客
03-31 157
在保密你的服务器和数据,防备当前复杂的攻击,SQL Server有你需要的一切。但在你能有效使用这些安全功能前,你需要理解你面对的威胁和一些基本的安全概念。这篇文章提供了基础,因此你可以对SQL Server里的安全功能充分利用,不用在面对特定威胁,不能保护你数据的功能上浪费时间。 从让人眼花缭乱的客户端使用连,通过到处分布的网络,尤其是互联网,关系数据库在各种应用程序里广泛使用。这使数据...
所有权链(Ownership Chain)
albh81462的博客
06-26 145
所有权链(Ownership Chain)是特殊的权限评估方式,常见拥有所有权数据库对象是:数据库对象,数据库角色(Role),和架构(Schema),在创建数据库角色,或架构时,SQL Server自动创建所有权: CREATE ROLE role_name [ AUTHORIZATION owner_name ] CREATE SCHEMA schema_name [A...
SQL SERVER 所有权链和上下文切换
hejisan的专栏
08-23 860
本教程使用一个应用场景说明 SQL Server 安全性概念,其中包括所有权链和用户上下文切换。有关所有权的详细信息,请参阅所有权链。有关上下文切换的详细信息,请参阅上下文切换。 注意: 若要在本教程中运行代码,必须已配置混合模式安全性并且已安装 AdventureWorks 数据库。有关混合模式安全性的详细信息,请参阅身份验证模式。有关安装 Adven
SQL Server 2005中的所有权
zgqtxwd的专栏
04-30 194
<!--google_ad_client = "pub-2947489232296736";/* 728x15, 创建于 08-4-23MSDN */google_ad_slot = "3624277373";google_ad_width = 728;google_ad_height = 15;//--><script type="text/javascript"
Condensation:压缩是一种零信任的分布式数据库,可确保数据所有权数据安全性
03-17
通过冷凝,可以构建现代应用程序,同时确保数据所有权安全性。 这是一个一站式的开源项目,可以应对未来数十年的复杂安全挑战并保护数字版权。 凝聚是建立在安全性之上的 数据控制:用户仅对打算数据的其他受...
通信与网络中的从攻击规避检测技术看IPS的安全有效性
11-06
也就是说,NSSLabs的专家们在建议企业客户选择IPS时,虽然要充分考虑产品的性能、部署能力及TCO(TotalCost of Ownership,总体拥有成本)等各项指标,但仍将安全有效性指标排在首位。  本文主要从“安全有效性”...
用于类型安全sql api结构的golang生成器
01-27
Marlow is a code generation tool written in golang designed to create useful...To encourage community driven ownership of this project, the CLI and library code for marlow has moved to the organization.
RFID系统中标签的安全所有权传输协议
03-20
提出了一种用于RFID系统中标签的安全所有权转移协议,以同时转移多个标签的所有权。老所有者执行身份验证并更新一组标签的秘密。之后,它将以安全方式将更新的机密发送给新所有者。新所有者还使用标签实施身份验证...
系统安全.pdf
06-19
by changing the user and/or group ownership of individual files ▪ The ext file systems have additional file attributes that can help secure a file from being overwritten or deleted ▪ chattr +a file:...
SQL Server 中的动态SQL所有权
三空道人的博客
02-20 202
像前文一样,我试图使用所有权链,但似乎并不能正常运行。在我的案例中,我在存储过程中创建执行一个拼SQL(动态SQL),然后使用EXEC 或者 EXEC sp_executesql。然而,当我执行字符串时,我一直收到拒绝访问的错误。两个对象在同一个架构下,每一个对象都没有显示指定拥有者。我哪里做错了呢? 无论什么时候你使用EXEC 或者 EXEC sp_executesql执行SQL 字符串时,...
SQL Server: cross database ownership chaining
个人工作心得
11-22 1371
当通过一个数据库的存储过程来访问另外一个数据库的存储过程时,要考虑cross database ownership chaining,在数据库服务器与单个数据库上均有相关的选项可以进行设置。 另外各个database的Owner建议都设为sa   EXEC sp_configure 'Cross DB Ownership Chaining', '1'; RECONFIGURE
介绍一下sql server安全性
jardownload的博客
08-27 179
1、两种登陆方式: 标准登陆方式(sqlserver和windows),采用sqlserver提供的用户名和密码登陆连,可用 sp_denylogin ‘builtinadministrators'拒绝操作系统管理员登陆连(sp_grantlogin ‘builtinadministrators'反转),也称非信任登陆机制;这种认证方式是两种方式中最安全的。 集成登陆方式(仅windows),...
SQLSERVER 过滤所有权的代码
dczjn9698的博客
10-11 67
--数据库的名字,建议加上[]做名字包含USE [0379] DECLARE tnames_cursor CURSORFOR SELECT TABLE_NAME FROM INFORMATION_SCHEMA.TABLESOPEN tnames_cursorDECLARE @tablename sysname --SET @tablename = 'authors'FETC...
SQL Server安全性简介 - 第1部分
yuyuyuyo的博客
06-24 1126
Red Gate SQL Monitor监视你的 SQL Servers的健康状况和活动, 通过电子邮件的形式在一个直观的界面中为你提供智能的警告和建议。 点击下载SQL Monitor试用版 在管理SQL Server实例时,安全性可能是最复杂的问题之一...
理解SQL Server中的跨数据所有权
三空道人的博客
02-25 713
译自K. Brian Kelley的博文 我已经掌握了所有权链,当我想知道跨数据库的所有权链是怎样的?其是如何工作的?如果拥有者是基于数据库的用户的,那么跨数据库的拥有者如何确定? 跨数据所有权链,是所有权链的一个扩展,除非其确实跨越了数据库的边界。如果你不熟悉所有权链,你应该从这篇《所有权链在SQL Server安全特性或安全风险》早期文章开始。跨数据所有权链可能发生的一个实例是...
SQL Server 安全篇——SQL Server 安全模型(1)——安全性主体层级
MVP黄钊吉(發糞塗牆)
01-22 3854
本文属于SQL Server安全专题系列 前言:  随着数据安全性的越来越重要,很有必要介绍一下数据库的安全方面的内容。本文兼容SQL Server 2016,但是由于安全这个范围太大,不可能完全说清楚,所以以重点介绍常用功能,同时兼顾新特性。系列中以SQL Server 演示库AdventureWorks2016CTP3为演示,下载地址:AdventureWorks sa
使用SQL语句创建基本数据
热门推荐
04-03 7万+
SQL语句代码:CREATE DATABASE Epiphany ON ( NAME = Epiphany, FILENAME = 'E:\SQL SERVER 2008\Epiphany_data.mdf', SIZE = 5MB, MAXSIZE = 20, FILEGROWTH = 20 ) LOG ON ( NAME = Epiphany
fatal: detected dubious ownership in repository at '/var/opt/server'
最新发布
06-12
这个错误通常是由于 Git 仓库中的所有权不正确引起的。这可能是由于 Git 仓库的所有权被更改或 Git 仓库的权限设置不正确。 要解决这个问题,您可以尝试以下步骤: 1. 确认 Git 仓库的所有权设置是否正确。您可以...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值