Пользователям удаленных баз данных (клиентским приложениям) не нужны полномочия файловой системы по доступу к базам данных. Им не нужны и соответствующие полномочия по использованию внешних приложений для записи и чтения внешних файлов данных, которые связаны с таблицами. Вы можете объединить полномочия операционной системы и средства конфигурирования на сервере параметра ExternaiFiieAccess (firebird.conf) для уменьшения риска постороннего воздействия.

Пользователям встроенных приложений, включая локальное (Классическое) соединение в POSIX, требуются права по доступу к файлу базы данных и другим файлам, таким как файлы блокировок, протоколов, внешних таблиц и т.д. Это же относится и к любой учетной записи того пользователя, который запускает сервер Firebird как приложение.

Защитите каталоги Firebird и другие каталоги, к которым обращается Firebird, используя максимально возможные ограничения, поддерживаемые вашей операционной системой и выбранной вами файловой системой.

Не храните программные файлы Firebird, базы данных, скрипты, оперативные копии или файлы данных внешнего доступа в разделах FAT32. В Windows не позволяйте использовать эти разделы обычным пользователям. Полномочия по использованию разделов NTFS, хранящих связанные с Firebird файлы и программы, должны быть максимально ограничены, насколько это возможно.

Использование групповых учетных записей предпочтительнее индивидуальных учетных записей. Где только возможно, исключите членство во множестве групп.

Регулярно выполняйте резервное копирование, упаковывайте копии, копируйте на переносимые носители и сохраняйте в защищенном месте.

Не оставляйте резервные копии и архивы базы данных в сетевом окружении, где гуляющие по сети могут их найти. Сворованная копия файла gbak может быть восстановлена с полной прозрачностью всех данных на любом другом сервере Firebird. Это означает, что если вы позволите мне украсть копию вашей базы данных или позволите получить файл gbak, я смогу восстановить это на моем сервере. Как пользователь SYSDBA, я смогу открыть и просмотреть все, что угодно.

Пара ложных предположений используется бестолковыми администраторами базы данных, мало беспокоящимися о защите базы данных и файлов резервных копий.

* Файл копии разрушен, следовательно, он не может быть использован злоумышленником. Не думайте, что файл копии выполняющейся базы данных будет разрушен и недоступен для использования. Незаконная копия прекрасно может быть использована, особенно если деятельность по изменению данных базы данных выполняется относительно редко, или если атакующий попытается выполнить повторные копирования[130].

* Файлы gbak не являются базами данных, следовательно, не могут быть использованы злоумышленником. Любой может восстановить базу данных из копии вашего файла gbak.

Тот уровень защиты, основанный на платформе, который вы можете использовать при инсталляции вашего сервера базы данных, зависит от двух факторов: как хорошо платформа операционной системы и ее файловая система могут защитить вашу систему (программы и данные) и насколько безопасной должна быть ваша система. Второе может быть хорошим основанием для выбора первого.

Если у вас есть очень веские причины поступить иначе, вам следует запустить сервер Firebird как сервис.

Если возможно, используйте специальную учетную запись пользователя для запуска сервиса Firebird. В Firebird 1.5 это реализовано по умолчанию для Linux и некоторых других POSIX-систем. Под Windows и для Firebird 1.0.x вы должны это сделать сами.

Требуйте пароли при всех подключениях и отменяйте кэширование подключения на серверах и рабочих станциях Windows. В сетях отменяйте возможность для пользователей и групп изменять их собственные установки регистрации. Задавайте строгие пароли. Усиливайте блокировки учетных записей на всех серверах и рабочих станциях, которые соединяются с базами данных.

Заставьте использовать обычные учетные записи при нормальной работе. Ограничьте подключения root или администратора административными сессиями. Отключите учетные записи "guest", "world" и "everyone".

Отслеживайте неверные подключения, ошибки при отключениях, ошибки при доступе к объектам файлов и программ, нарушения пользовательских привилегий, необычные завершения и перезагрузки системы.

Linux, UNIX и другие платформы POSIX более предпочтительны, чем Windows, если требуется высокая безопасность. Технологии безопасности этих платформ являются продуманными и очень понятными в реализации. Безопасность файловой системы и надежный доступ присущи требованиям проектирования, которые определены в общих стандартах. Это не означает, что просто инсталляция сервера баз данных на платформе POSIX является гарантией безопасности. Это говорит о том, что тут существуют элементы, необходимые для установки систем безопасности, обеспечивающих надежную защиту.

Инсталляции сервера Windows являются столь безобразно сложными в плане безопасности, что требования высокой защищенности могут просто полностью исключить Windows в качестве платформы для установки серверов базы данных, в которых оценка и отслеживание безопасности на местах отсутствует.

В презентации лаборатории, озаглавленной "Укрепление Windows 2000"[131], гуру сетевой безопасности Philip Сох из SystemExperts Corporation начал очерчивать "Четыре шага практической безопасности в Win2K" следующим образом:

1. Локализовать систему Windows.

2. Вставить *nix CD.

3. Перезагрузиться.

4. Следовать подсказкам инсталляции.

Эти слова были сказаны с насмешкой, они сопровождались обязательными "улыбочками", но доклад Philip Сох содержит серьезный полезный совет системным администраторам, для которых запуск серверов Windows является лишь возможным вариантом. Он основной автор официальной и очаровательно искренней книги по безопасности сервера Windows "Windows 2000 Security Handbook"[132]. Сама Microsoft публикует официальные издания с подробными практическими инструкциями по реализации безопасности на их серверных платформах и часто выпускает патчи безопасности. Сайт activewin.com является полезным источником связанных описаний множества патчей безопасности, которые были созданы и продолжают создаваться в различных версиях Windows.

В системах Windows NT/2000 и XP сервисы доступны удаленным клиентам, даже когда ни один пользователь не соединен с сервером.

При выполнении сервис Firebird, как и большинство сервисов Windows, выполняется под учетной записью localsystem. Localsystem является встроенной учетной записью, которая для Windows NT 4 и меньших версий сервера имеет мало возможностей. На более поздних серверных платформах Windows localsystem была наделена чрезмерным уровнем привилегий доступа к локальным системным ресурсам, включая привилегии, которые не могут быть предоставлены даже членам группы администраторов.

Приложения же выполняются под обычными учетными записями пользователей и требуют, чтобы пользователь был соединен с сервером. Любой стандартный пользователь Windows может запустить сервер Firebird как приложение.

Под Windows строго рекомендуется ограничить размещение каталогов (папок), где располагаются файлы базы данных и компоненты сервера, и защитить к ним доступ. Установите права к объектам и полномочия для совместно используемого ресурса для каждого файла, к которому потенциально могут обращаться сетевые пользователи. Чтобы быть защищенными, каталоги и файлы должны находиться в разделах NTFS, в деревьях, предназначенных для этих целей, и должны быть сделаны читаемыми только для учетной записи или группы с соответствующими привилегиями.