Рутина

[w_bf]

Из вакансии.

Москва, нужен тестировщик, опыт, команда, нагрузочное, HP, бла-бла-бла. Дают 50 денег. Бывает. Нормально.

Но есть строка:
Опыт работы с СУБД MS SQL Server 2000/2005/2008, Oracle 9/10/11 на уровне администратора.

Вот мне кажется, или одна только эта строка стоит в мск минимум 50 денег? В екб-вакансиях одна эта строчка стоит примерно

Comments

[iron_bug]

да средний уровень не предполагает никаких особых знаний. на самом деле, любой студент разберётся. чего там особого, в БД? всё тупо, однообразно. в инете полно инфы по всем БД.
поставить-снести-забэкапить любой дурак сможет. а от админа базы большего не требуется.

[w_bf]

Понятие "администратор СУБД" не равно средний уровень.
Я об этом.

И да, если в продакшене у кого-тоесть oracle, юзаемая только как "поставить-снести-забэкапить" - это странные люди... У них много микроскопов и мало гвоздей, видимо.

[iron_bug]

админ и не должен больше ничего делать. до самой базы у него даже доступа нет. никакие там таблицы и прочее он вообще не должен править, это не его дело. их на километр нельзя подпускать к этому делу. админ должен поддерживать систему и бэкапить базу вовремя. ну и решать мелкие сетевые проблемы. остальное делают программисты.

[w_bf]

Я считаю, что ты глубоко ошибаешься.

[iron_bug]

я несколько лет проработала с базами. безопасность достигается только одним, совершенно классическим, методом: тот, кто имеет права на сервере, ничего не должен знать о структуре базы и не должен иметь прав на базу, как юзер. тот, кто знает структуру и заведён как юзер, не должен иметь никаких прав на сервере. это самое первое и самое главное правило. как только оно нарушено - начинается бардак и утечка данных.

[crusader412]

Знаю только один инструмент для этого - Oracle Database Vault
Не подскажешь, как аналогичное можно реализовать в PostgreSQL, который так любят госзаказчики?
Ну, и утечку можно организовать не имея "прав на сервере". Имхо, инсайдеры сливают инфу не из самой СУБД, а клиента.

[iron_bug]

госзаказчики могут любить халяву сколько влезет. но игрушечные базы никогда не использовались для целей безопасности. как-то так.
либо вопрос решается административно: админ нанимается из ФСБ и любое действие проводится через вскрытие-опечатку сервера, с протоколированием. в некоторых организациях так и есть.

Мимо

[crusader412]

Дело не в халяве, а открытости исходников.
Лет 5 назад MS и Oracle еще не предоставляли исходники нашим спецслужбам.

Слегка разовью предыдущую мысль. Что мне мешает при Разделении Доступа вытащить данные вульгарным pg_dump с удаленного хоста на свою машину и затем развернуть где угодно?

Re: Мимо

[iron_bug]

многие федеральные организации работают под ораклом и не жужжат.
вопрос в том, что делать с этими данными. кусок зашифрованных данных не представляют собой ничего интересного для левых людей.

Re: Мимо

[crusader412]

сейчас уже да. и с ms sql тоже.
PostgreSQL cann't into шифрование. а если архитектуру бд проектировал не норкоман - интересные данные найти можно. просто хотел на примере показать уязвимость в подходе разделения доступов.

[jan_y]

ну и патчи накатывать на БД, которые ему опять же программеры готовят по большей части

[iron_bug]

ну да, это тоже. но для этого нужен только доступ к серверу.
вообще, юзеры должны лезть к базе только через ПО. иначе будет бардак. я лично многократно отрывала руки за попытки "а мы хотели поправить, а оказалось...". а потом программист с матюками лазит по базе и смотрит, что же они там нахимичили, отчего всё покривело :) не во всех базах можно сделать так, чтобы абсолютно всё контролировалось триггерами. чаще проще применить административный ресурс и бить по рукам, если были попытки залезть напрямую. админ не заинтересован в получении по голове, поэтому для него проще и благоразумнее юзеров с их проблемами перенаправлять к программистам. пусть программист разбирается с косяками, если таковые возникли. админ должен следить за сервером.