Google Groups no longer supports new Usenet posts or subscriptions. Historical content remains viewable.
Dismiss

Sind Datenbanken sicher?

9 views
Skip to first unread message

Christian Stubbs

unread,
Nov 2, 2011, 12:32:21 PM11/2/11
to
[Ich beziehe mich mit Datenbanken konkret auf mysql, bin aber auch an
der Situation bei anderen Datenbanken interessiert.]

Gerade bei Datenbanken wird oft darauf hingewiesen, dass man sie nicht
von außerhalb Zugänglich machen und mit einem Paketfilter schützen soll.

Dabei haben Datenbanken eigentlich oft ein gute Benutzerverwaltung mit
fein einstellbaren Berechtigungen. Ist das so löchrig implementiert,
dass man sich darauf nicht verlassen kann?

Juergen P. Meier

unread,
Nov 2, 2011, 12:45:51 PM11/2/11
to
Christian Stubbs <usenetmu...@nurfuerspam.de>:

Sicher wovor?

> [Ich beziehe mich mit Datenbanken konkret auf mysql, bin aber auch an
> der Situation bei anderen Datenbanken interessiert.]
>
> Gerade bei Datenbanken wird oft darauf hingewiesen, dass man sie nicht
> von außerhalb Zugänglich machen und mit einem Paketfilter schützen soll.

Ja, weil sie selten gegen unbefugten Zugriff abgesichert werden.

> Dabei haben Datenbanken eigentlich oft ein gute Benutzerverwaltung mit
> fein einstellbaren Berechtigungen. Ist das so löchrig implementiert,
> dass man sich darauf nicht verlassen kann?

Zu oft.

Juergen

Dietz Proepper

unread,
Nov 2, 2011, 3:03:47 PM11/2/11
to
Christian Stubbs wrote:

> [Ich beziehe mich mit Datenbanken konkret auf mysql, bin aber auch an
> der Situation bei anderen Datenbanken interessiert.]
>
> Gerade bei Datenbanken wird oft darauf hingewiesen, dass man sie nicht
> von außerhalb Zugänglich machen und mit einem Paketfilter schützen soll.

Nun, prinzipiell gilt natürlich, ein nicht-exponierter Dienst kann nicht
kompromittiert werden. Damit ist es gute Praxis, nach "außen" so wenig wie
möglich zu exponieren. Wenn ein Host gegenüber Dritten nur und ausschließlich
HTTP anbieten soll dann macht es auch wenig Sinn, die Infrastruktur dahinter
zugänglich zu machen.

> Dabei haben Datenbanken eigentlich oft ein gute Benutzerverwaltung mit
> fein einstellbaren Berechtigungen. Ist das so löchrig implementiert,
> dass man sich darauf nicht verlassen kann?

Nun, ein DBMS ist in aller Regel um Größenklassen komplexer, als ein
Paketfilter. Daher ist es schonmal eine Sache einfacher Logik, als
Schutzmaßnahme das weniger komplexe System herzunehmen.

Zudem, scott! tiger! ;-).
--
All we have to fear is fear itself. (And spyders)

Gernot Zander

unread,
Nov 3, 2011, 3:14:58 PM11/3/11
to
Hi,
a) Wird gerade weil es so fein ist, da schonmal was falsch gemacht,
oder gar vergessen.
b) Stehen die Zugangsdaten gern in PHP-Scripten im Klartext bzw.
stehen bei mehreren Leuten (weil ja mehrere drauf arbeiten) auf
gelben Zetteln am Monitor. Fallen daher leichter Fremden in die
Hände als ein persönliches PW.
c) Läuft die Kommunikation in der Regel unverschlüsselt und ist
leichter zu sniffen. NoGo eingentlich, wenn man durch fremde
Netze (also übers Internet) gehen muss.
Daher nicht unverbreitet: Die DB (und andere unverschlüsselte
Dienste) von außen zu, statt dessen durch ssh auf einem lokalen
Account tunneln.

mfg.
Gernot

--
<hi...@gmx.de> (Gernot Zander) *Keine Mailkopien bitte!*
Erziehung ist lediglich die organisierte Verteidigung der Erwachsenen gegen
die Jugendlichen.

Burkhard Ott

unread,
Nov 3, 2011, 3:49:24 PM11/3/11
to
On Thu, 03 Nov 2011 20:14:58 +0100, Gernot Zander wrote:

> Hi,
>
> in de.comp.security.firewall Christian Stubbs
> <usenetmu...@nurfuerspam.de> wrote:
>> [Ich beziehe mich mit Datenbanken konkret auf mysql, bin aber auch an
>> der Situation bei anderen Datenbanken interessiert.]
>
>> Gerade bei Datenbanken wird oft darauf hingewiesen, dass man sie nicht
>> von außerhalb Zugänglich machen und mit einem Paketfilter schützen
>> soll.
>
>> Dabei haben Datenbanken eigentlich oft ein gute Benutzerverwaltung mit
>> fein einstellbaren Berechtigungen. Ist das so löchrig implementiert,
>> dass man sich darauf nicht verlassen kann?
>
> a) Wird gerade weil es so fein ist, da schonmal was falsch gemacht,
> oder gar vergessen.

Stimme ich Dir zu, weiter findet man in ungefaehr 90% aller
Systemrequirements Datenbank basierter Applikation "grant all on ...".
Auch ein Dauerbrenner is chmod 777 innerhalb der Documentroots.


> c) Läuft die Kommunikation in der Regel unverschlüsselt und ist
> leichter zu sniffen. NoGo eingentlich, wenn man durch fremde Netze
> (also übers Internet) gehen muss.
> Daher nicht unverbreitet: Die DB (und andere unverschlüsselte Dienste)
> von außen zu, statt dessen durch ssh auf einem lokalen Account tunneln.

Oder falls permanent, IPSec Verbindung.

cheers
0 new messages