IBM DB2 डेटाबेस सुरक्षा मॉडल

आईबीएम डीबी 2 डेटाबेस प्रबंधन प्रणाली ने दूर के 70 के दशक में अपना विकास शुरू किया था और अब प्रदर्शन, विश्वसनीयता, सुरक्षा और स्केलेबिलिटी के लिए उच्च आवश्यकताओं को पूरा करते हुए कॉर्पोरेट डीबीएमएस के बाजार में एक मजबूत स्थिति है। आईबीएम डीबी 2 एक्सप्रेस के मुफ्त संस्करण की उपलब्धता के बावजूद, निजी क्षेत्र में, डीबी 2 प्रणाली व्यापक नहीं है। शायद इस वजह से, इंटरनेट पर डीबी 2 की स्थापना और उपयोग के बारे में कई लेख नहीं हैं।

DB2 सुरक्षा मॉडल में व्यापक कार्यक्षमता है और आपको बाहरी प्रभावों से डेटा की सुरक्षा करने और आंतरिक उपयोगकर्ताओं के लिए DBMS का उपयोग करने के लिए अधिकारों का अंतर करने की अनुमति देता है।

हालांकि, एक अप्रस्तुत उपयोगकर्ता के लिए खरोंच से इस सभी विविधता को समझना मुश्किल है, इसलिए इस लेख में कुछ महत्वपूर्ण पहलुओं पर चर्चा की जाएगी।

प्रवेश बिंदु

DB2 का प्रवेश बिंदु इस प्रकार है: DBMS -> उदाहरण, जो किसी विशिष्ट डेटाबेस के एक विशिष्ट पोर्ट -> नाम से बँधा हो सकता है। सुरक्षा सेटिंग्स को एक विशिष्ट उदाहरण और एक विशिष्ट डेटाबेस में दोनों को बदला जा सकता है।

प्रमाणीकरण

प्रमाणीकरण प्राथमिक सुरक्षा तंत्र है जो तब लागू होता है जब आप DB2 सर्वर से कनेक्ट करने का प्रयास करते हैं। प्रमाणीकरण सत्यापित करता है कि प्रदान की गई साख सही है। DB2 में मुख्य विशेषता यह है कि उपयोगकर्ता प्रमाणीकरण केवल बाहरी प्लगइन्स द्वारा किया जाता है। Oracle या MS SQL Server के विपरीत, आंतरिक उपयोगकर्ता यहाँ मौजूद नहीं हैं। यहां तक ​​कि उपयोगकर्ता निर्माण फ़ंक्शन, जो आईबीएम डेटा स्टूडियो कार्यक्रम में है, वास्तव में उपयोगकर्ता नहीं बनाता है, लेकिन निर्दिष्ट उपयोगकर्ता को डेटाबेस से कनेक्ट करने का विशेषाधिकार प्रदान करता है।

कई प्रमाणीकरण विकल्प हैं, वांछित विकल्प डेटाबेस प्रबंधक में AUTHENTICATION पैरामीटर द्वारा विनियमित है। इस पैरामीटर का मान प्रभावित करता है जहां क्लाइंट प्रमाणीकरण (सर्वर साइड या क्लाइंट साइड पर) किया जाएगा और क्या डेटा एन्क्रिप्टेड रूप में प्रसारित किया जाएगा (मान _ENCRYPT के अंत के साथ मान)। इस पैरामीटर के लिए समर्थित मान निम्न पते पर उपलब्ध हैं ।

आप sysibmadm.dbmcfg तालिका के लिए क्वेरी का उपयोग करके डेटाबेस प्रबंधक कॉन्फ़िगरेशन देख सकते हैं, लेकिन इसके लिए आपको किसी भी डेटाबेस तक पहुंच की आवश्यकता होती है, जो हमेशा संभव नहीं होता है। यदि आपके पास सर्वर तक स्थानीय पहुंच है, तो आप कमांड लाइन प्रोसेसर (विंडोज में db2 या db2.exe) खोल सकते हैं, उदाहरण के लिए कनेक्ट करें और निम्न कमांड चलाएं:

db2 => attach to db2inst1
db2 => get database manager configuration

AUTHENTICATION के लिए डिफ़ॉल्ट मान SERVER है। प्रदान की गई उपयोगकर्ता क्रेडेंशियल्स की मान्यता ऑपरेटिंग सिस्टम का उपयोग करके सर्वर साइड पर की जाती है, लेकिन सभी डेटा स्पष्ट में प्रेषित होते हैं और एक हमलावर द्वारा इंटरसेप्ट किए जा सकते हैं।

देखते हैं कि विंडसर्क में इंटरसेप्टेड जानकारी कैसी दिखती है।


EBCDIC को देखते समय क्लाइंट से ट्रांसमिट और पासवर्ड पैकेज में दिखाई देते हैं।

प्रमाणीकरण प्रकार को SERVER_ENCRYPT में बदलते समय, लॉगिन और पासवर्ड एन्क्रिप्टेड रूप में प्रेषित किया जाएगा और सर्वर साइड पर चेक किया जाएगा।

मूल्य परिवर्तन निम्नानुसार है:

db2 => attach to db2inst1
db2 => update database manager configuration using authentication server_encrypt
db2 => db2stop force
db2 => db2start

प्रमाणीकरण पैकेज इस तरह दिखेगा:


हालाँकि, क्वेरी पाठ और परिणाम अभी भी स्पष्ट पाठ में प्रेषित होंगे।

Wireshark में अनुरोध पैकेट:


विंडसर प्रतिक्रिया पैकेट:


यदि AUTHENTICATION पैरामीटर DATA_ENCRYPT पर सेट है, तो उपयोगकर्ता क्रेडेंशियल्स एन्क्रिप्ट किए गए हैं, साथ ही क्लाइंट और सर्वर के बीच संचारित जानकारी भी।

मूल्य ऊपर के उदाहरण के समान बदलता है:

db2 => attach to db2inst1
db2 => update database manager configuration using authentication data_encrypt
db2 => db2stop force
db2 => db2start

उसके बाद, प्रेषित डेटा भी एन्क्रिप्ट किया जाएगा:


इसके अलावा, CLIENT प्रमाणीकरण प्रकार पर ध्यान दें। इस प्रकार के प्रमाणीकरण के साथ, यह माना जाता है कि क्लाइंट और सर्वर के बीच एक सुरक्षित संचार चैनल मौजूद है, और यदि उपयोगकर्ता के पास क्लाइंट तक पहुंच है, तो वह क्रेडेंशियल्स की जांच किए बिना सर्वर तक पहुंच सकता है। अर्थात, क्लाइंट पक्ष पर ऐसा प्रमाणीकरण होता है, सर्वर साइड पर सत्यापन नहीं किया जाता है। यहां तक ​​कि अगर उपयोगकर्ता जो सर्वर से जुड़ता है, उसके पास एक्सेस अधिकार नहीं हैं, फिर भी वह उन सभी विशेषाधिकारों को प्राप्त करता है जो पब्लिक ग्रुप को सौंपे जाते हैं। इसलिए, आपको इस प्रकार के प्रमाणीकरण का उपयोग नहीं करना चाहिए, इससे हमलावरों को बिना अधिक प्रयास के सर्वर तक पहुंच प्राप्त करने का अवसर मिलेगा।

यदि अचानक किसी कारण से इस प्रकार का प्रमाणीकरण आवश्यक है, तो आपको यह विचार करने की आवश्यकता है कि दो अतिरिक्त पैरामीटर हैं जो अंततः प्रभावित करते हैं कि उपयोगकर्ता क्रेडेंशियल्स को कैसे सत्यापित किया जाएगा। यह Trust_allclnts पैरामीटर है, जिसके साथ आप निर्दिष्ट कर सकते हैं कि कौन से ग्राहक विश्वसनीय माने जाते हैं, और trust_clntauth पैरामीटर, जो निर्धारित करता है कि कनेक्शन के दौरान उन्हें कहाँ लॉगिन और पासवर्ड की जाँच करनी है। ये दोनों पैरामीटर केवल प्रमाणीकरण को प्रभावित करते हैं यदि AUTHENTICATION पैरामीटर CLIENT पर सेट है।

यदि प्रमाणीकरण सफल होता है, तो उपयोगकर्ता ID DB2 ID से मेल खाता है। आमतौर पर पहचानकर्ता उपयोगकर्ता नाम से मेल खाता है, लेकिन यह अपरकेस वर्णों का उपयोग करता है।

प्राधिकरण

प्राधिकरण प्रक्रिया के दौरान, यह जांचा जाता है कि उपयोगकर्ता के पास उसके द्वारा अनुरोध किए गए कार्यों के लिए आवश्यक अधिकार हैं या नहीं। DBMS उदाहरण और डेटाबेस के अधिकारी हैं।

डेटाबेस प्रबंधक कॉन्फ़िगरेशन में किसी विशिष्ट आवृत्ति के लिए प्राधिकरण स्तर निर्दिष्ट है। ये निम्नलिखित अधिकारी हैं:

• SYSADM (सिस्टम प्रशासक विशेषाधिकार)
• SYSCTRL (सिस्टम प्रबंधन प्राधिकरण)
• SYSMAINT (सिस्टम रखरखाव प्राधिकरण)
• SYSMON (सिस्टम मॉनिटरिंग अथॉरिटी)

ये विशेषाधिकार उस समूह को निर्दिष्ट करके निर्धारित किए जाते हैं, जहाँ उपयोगकर्ता होगा। ऐसा करने के लिए, dbmcfg फ़ाइल के निम्न मापदंडों (उपरोक्त अनुमतियों के अनुसार) का उपयोग करें:

• SYSADM_GROUP
• SYSCTRL_GROUP
• SYSMAINT_GROUP
• SYSMON_GROUP

उन उपयोगकर्ताओं की एक सूची प्राप्त करना आसान है जो DB2 टूल का उपयोग कर एक समूह का हिस्सा हैं, आपको इसे ऑपरेटिंग सिस्टम में स्वयं करना होगा या विश्लेषण करना होगा कि कौन से समूह किसी विशेष उपयोगकर्ता में हैं (क्वेरी के लिए "उपयोगी क्वेरी" देखें)।

DB2 की स्थापना करते समय, उन उपयोगकर्ताओं की सूची की जाँच करना अनिवार्य है जिन्हें SYSADM प्राधिकरण सौंपा गया है। यह अनुमति आपको सभी डेटाबेस ऑब्जेक्ट को प्रबंधित करने की अनुमति देती है।

एक विशिष्ट डेटाबेस की साख SYSCAT.DBAUTH दृश्य में देखी जा सकती है। आपको CONNECTAUTH विशेषाधिकार पर ध्यान देने की आवश्यकता है, जो यह निर्धारित करता है कि उपयोगकर्ता के पास डेटाबेस तक पहुंच होगी या नहीं, और NOFENCEAUTH विशेषाधिकार, जो फ़ेंस किए गए कार्यविधियों और कार्यों को बनाने के लिए ज़िम्मेदार है। ऐसी प्रक्रियाएं डेटाबेस के एड्रेस स्पेस में की जाती हैं और, त्रुटि की स्थिति में, डेटाबेस की अखंडता और उसमें मौजूद तालिकाओं का उल्लंघन कर सकती हैं।

विशेषाधिकार

DB2 में विशेषाधिकार विभिन्न वस्तुओं को दिया जा सकता है। तालिका पहुंच विशेषाधिकार SYSCAT.TABAUTH दृश्य में देखे जा सकते हैं। विशेषाधिकार के प्रकार पर डेटा विशेषाधिकार के आधार पर अलग-अलग कॉलम में संग्रहीत किया जाता है, (SELECTAUTH, DELETEAUTH, आदि)। जब संदर्भ और अद्यतन विशेषाधिकारों के लिए अनुदान आदेश का उपयोग करके विशेषाधिकार प्रदान करते हैं, तो आप उन स्तंभों के नाम भी निर्दिष्ट कर सकते हैं जिन पर ये विशेषाधिकार लागू होंगे। इस पर जानकारी SYSCAT.COLAUTH दृश्य में पाई जा सकती है ।
दिनचर्या (कार्यों, प्रक्रियाओं और तरीकों) के लिए विशेषाधिकार SYSCAT.ROUTINEAUTH दृश्य में देखे जा सकते हैं। यहां सब कुछ पूरी तरह से तुच्छ नहीं है, जो SpecificNAME और TYPENAME फ़ील्ड के आधार पर, किसी योजना के सभी रूटीन को विशेषाधिकार दिए जा सकते हैं।

उपयोगकर्ता, समूह, भूमिकाएँ

सभी डेटाबेस अनुमतियां और विभिन्न विशेषाधिकार उपयोगकर्ताओं, समूहों या भूमिकाओं को दिए जा सकते हैं। उपयोगकर्ताओं, समूहों और समूहों में उपयोगकर्ता सदस्यता का अस्तित्व डेटाबेस के बाहर ही विनियमित होता है। इस संबंध में, कुछ सिफारिशों को ध्यान में रखना और शक्तियों और विशेषाधिकारों को जारी करते समय कुछ सूक्ष्मताओं को जानना उचित है। विशेष रूप से डेटाबेस (CONNECTAUTH) को समूहों से जोड़ने की क्षमता डेटाबेस को विशेषाधिकार और अधिकार देने की अनुशंसा नहीं की जाती है। विशेषाधिकार उन विशिष्ट उपयोगकर्ताओं या भूमिकाओं को दिए जाने चाहिए जिन्हें इसकी आवश्यकता है। 9.5 संस्करण के बाद से DB2 में भूमिका समर्थन शुरू किया गया है। रोल सदस्यता प्रबंधन डेटाबेस के अंदर ही किया जाता है।

इसके अलावा, DB2 में एक अंतर्निहित सार्वजनिक भूमिका है। डेटाबेस उपयोगकर्ता को सार्वजनिक भूमिका प्रदान करने की आवश्यकता नहीं है: उपयोगकर्ता से सार्वजनिक भूमिका वापस लेना संभव नहीं है। जब एक विशेषाधिकार सार्वजनिक भूमिका को प्रदान किया जाता है, तो वास्तव में विशेषाधिकार सभी डेटाबेस उपयोगकर्ताओं को प्रदान किया जाता है। किसी भी सार्वजनिक भूमिका डेटाबेस प्राधिकरण को अनुदान न दें। तालिकाओं और विचारों पर विशेषाधिकार अत्यधिक सावधानी के साथ जारी किए जाने चाहिए, केवल देखने के लिए और पुनर्मूल्यांकन की संभावना के बिना (अनुदान विकल्प के बिना)।

प्रमाणीकरण की प्रकृति के कारण, सिस्टम में उपयोगकर्ता या समूह के अस्तित्व के लिए विशेषाधिकारों की जाँच नहीं की जाती है। परिणामस्वरूप, प्रमाणीकरण उपयोगकर्ता सिस्टम में वास्तविक उपयोगकर्ताओं से बंधे बिना दिखाई दे सकते हैं। आप निम्न SQL क्वेरी का उपयोग करके इन उपयोगकर्ताओं को पा सकते हैं:

SELECT authid FROM sysibmadm.authorizationids WHERE authidtype = 'U' AND authid NOT IN (SELECT username FROM TABLE(sysfun.USERS()) AS W)

ऐसे समूहों की खोज के लिए एक समान क्वेरी का उपयोग किया जाता है, लेकिन क्वेरी इंगित करती है कि सार्वजनिक डेटा प्रदर्शित करने की कोई आवश्यकता नहीं है:

SELECT authid FROM sysibmadm.authorizationids WHERE authidtype = 'G' AND authid NOT IN (SELECT groupname FROM TABLE(sysfun.groups()) AS W) AND authid != 'PUBLIC'

LBAC

DB2 तालिकाओं में डेटा तक पहुँचने के लिए एक शक्तिशाली लेबल-आधारित अभिगम नियंत्रण है। तंत्र आपको विशिष्ट पंक्तियों या स्तंभों पर सुरक्षा लेबल इस तरह से सेट करने की अनुमति देता है कि एक उपयोगकर्ता जिनके पास संरक्षित डेटा तक पहुंच नहीं है, उन्हें भी अपने अस्तित्व की जानकारी नहीं होगी। एलबीएसी को लागू करने के तरीकों के बारे में विस्तार से बात करने का कोई मतलब नहीं है, क्योंकि निर्माता के पास इस विषय पर एक प्रशिक्षण मैनुअल है:

www.ibm.com/developerworks/ru/edu/dm0605wong/index.html

स्वचालित स्कैन उपकरण

आईबीएम डीबी 2 सर्वर सुरक्षा स्थापित करते समय, महत्वपूर्ण बिंदु किसी भी सुरक्षा स्कैनर का उपयोग है (उदाहरण के लिए, एनबीएस एसक्यूआईआरएल के लिए डीबी 2, मैक्सपैट्रोल आदि)। स्कैनर्स स्पष्ट रूप से सेटिंग्स में भेद्यता का संकेत देंगे, जो आपको याद हो सकता है, या विश्लेषण के लिए सुविधाजनक रूप में जानकारी प्रदर्शित कर सकता है:
DB2 के लिए NGS SQuirreL:

MaxPatrol:

उपयोगी प्रश्न और आदेश

डेटाबेस प्रबंधक सेटिंग प्राप्त करें:
select name, value from sysibmadm.dbmcfg
या
db2 => get dbm cfg

डेटाबेस प्रबंधक सेटिंग बदलें:
db2 => update database manager configuration using
:
db2 => db2stop force
db2 => db2start

:
select name, value from sysibmadm.dbcfg

db2 => get db cfg for

:
select username from table(sysfun.USERS()) AS t

:
select groupname from table(sysfun.GROUPS()) AS t

(, , ):
select AUTHID, AUTHIDTYPE from sysibmadm.AUTHORIZATIONIDS

:
select current server from sysibm.sysdummy1

:
select user from sysibm.sysdummy1

, :
select GROUPNAME from table(sysfun.groups_for_user('<username>')) as t

:
$ db2ls

:
$ db2ilist

:
select * from tabname fetch first 5 rows only