• 15 апреля стартует «Курс «SQL-injection Master» ©» от команды The Codeby

    За 3 месяца вы пройдете путь от начальных навыков работы с SQL-запросами к базам данных до продвинутых техник. Научитесь находить уязвимости связанные с базами данных, и внедрять произвольный SQL-код в уязвимые приложения.

    На последнюю неделю приходится экзамен, где нужно будет показать свои навыки, взломав ряд уязвимых учебных сайтов, и добыть флаги. Успешно сдавшие экзамен получат сертификат.

    Запись на курс до 25 апреля. Получить промодоступ ...

Запрет доступа к базе даже с Faa

  • Автор темы Cosmogen
  • Дата начала
C

Cosmogen

Доброго времени суток!

Следующий вопрос. Нужно запрететить доступ к конкретной базе даже администраторам, т.е. даже после включения FAA с консоли администратора
он не мог открыть эту базу. Знаю что можно. Добавляется какой-то код в дизайн базы, который снимает галочку FAA перед попыткой открытия базы(т.е. если администратор с FAA пытается открыть эту базу).
О целом запрете FAA на самом сервере не идет речь, только для конкретной базы.

Если кто знает прошу поделиться информацией.

Заранее благодарен!
 
P

puks

Lotus Team
03.02.2007
1 919
55
BIT
3
Ну и зачем тебе это надо? Грамотный админ это все обойдет, если уж очень надо будет.

Если уж очень надо закрыть базу, то используй шифрование.
 
D

D!m@n

Достаточно будет под FAA открыть базу в дизайнере и убрать "вредоносный" код.
В Вашем случае, вероятнее всего, самым правильным будет применять шифрование на уровне полей документов.
 
Constantin A Chervonenko

Constantin A Chervonenko

Green Team
30.05.2006
1 345
12
BIT
0
Вообще-то есть ключик в notes.ini, который отменяет FA на данном сервере.
После чего Самый грамотный админ вскроет базу ТОЛЬКО при физическом доступе к серверу
 
Cleric-Lviv

Cleric-Lviv

Well-known member
03.01.2008
603
0
BIT
0
так что есть ли смисл ето делать?????разве только что шифрованием и прятать свой ид от злосних админов. :)))))
Но вот здесь снова таки проблем, базу ведь будут юзать другие пользователи, и ничто не составит труда, найти пользователя взять ид, (если есть recovery password) сменить пароль и зайти под етим юзером и все прочитать.
 
D

D!m@n

ID Recovery можно настроить так, чтобы id-шники могли расшифровывать только несколько админов одновременно.
Т.е. для расшифрования айдишника два или более админа должны ввести свои пароли.
А злые дела, как правило, делаются в одиночку :)
 
Constantin A Chervonenko

Constantin A Chervonenko

Green Team
30.05.2006
1 345
12
BIT
0
D!m@n сказал(а):
Т.е. для расшифрования айдишника два или более админа должны ввести свои пароли.
А злые дела, как правило, делаются в одиночку :)
Нажмите, чтобы раскрыть...
Праальна.. Мало того: если организация серьезная (гос), то деятельность регулируется уже УК. А там за "по предв.сговору" сроки сущеЕЕственно бОльшие
 
Cleric-Lviv

Cleric-Lviv

Well-known member
03.01.2008
603
0
BIT
0
D!m@n сказал(а):
ID Recovery можно настроить так, чтобы id-шники могли расшифровывать только несколько админов одновременно.
Т.е. для расшифрования айдишника два или более админа должны ввести свои пароли.
А злые дела, как правило, делаются в одиночку biggrin.gif
Нажмите, чтобы раскрыть...

Полностю согласен! НО! если в организации есть несколько админов, то все равно есть админ, админ-пупкин, админ соколов. Если настраивать рекавери пасворд то делается (в большинстве случаев) админ--админ-пупкин, или админ--админ соколов, в большинстве случаев и соколов и пупкин знают пароль админа :D
Делаем виводи господа!
 
D

D!m@n

Не знаю... У нас нет учетки "фиктивного" админа (т.е. какой-нибудь дурацкой типа Admin Account/Company/RU).
Все под своими именами.
В такой учетке была бы надобность, если бы в Лотусе не было механизма групп.

Или Вы что-то другое имели ввиду?
 
Cleric-Lviv

Cleric-Lviv

Well-known member
03.01.2008
603
0
BIT
0
да не все правильно, но просто я хотел обратить внимание на одну фичу, просто когда настраивать рековери пасворд на 2-х и более людей возможни всячиские грабли.
например у нас настроен рековери на 2-х админов, далее юзер забил пароль, например какойто начальник и ему срочно надобно войти в почту дале он звонит в службу подтдержки (helpdesk) служба к админам и тут самое интиресное ВТОРОЙ админ заболел, ну плохо человеку стало и ушол он домой, вот как в таких случаях бить?
вот у меня бил нюанс забила пароль председатель совета директоров, они ведь не понимают отмазок что надо второго админа и так далее, я как к ней заходил ето чтото типа как кролика пускают к удаву.......
 
D

D!m@n

Так Вы сделайте проще:
Включите в список тех, кто может расшифровать айдишник, не 2-х человек, а человек 5-7 доверенных (помимо двух Ваших лотусных админов, это могут быть начальники IT-департамента, другие админы либо даже начальник Службы безопасности).
При этом поставьте, чтобы для расшифрования id достаточно было двум сотрудникам из этого списка ввести пароли.
Тогда болезни админов Вам будут не страшны :unsure:
 
Constantin A Chervonenko

Constantin A Chervonenko

Green Team
30.05.2006
1 345
12
BIT
0
Cleric-Lviv сказал(а):
забыла пароль председатель совета директоров, они ведь не понимают отмазок что надо второго админа и так далее, я как к ней заходил ето чтото типа как кролика пускают к удаву.......
Нажмите, чтобы раскрыть...
Предложи ей вообще снять пароль :)
Как-то придется объяснить, что чудес не бывает:
- либо секретность есть, но никакой админ в-одиночку её ПЯ не взломает
- либо её пароли "восстанавливаются" "на раз", и соответственно "на раз" читается вся её почта

Типа: закрыть кабинет на сейфовый замок, а ключ положить под ковриком
 
Для ответа нужно войти/зарегистрироваться
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!

Верх Низ