Forums Últimos mensajes - Powered by IBM
 
Tags Palabras claves

xp_cmdshell y seguridad

10/01/2005 - 17:05 por dile57-cosas | Informe spam
Ayuda Hacer una pregunta
hola,
me he encontrado con el siguiente problema de seguridad en la
aplicacion que estoy desarrollando y necesitaba algo de ayuda,
gracias.


antecedentes:
tenemos un procedimiento almacenado que realiza una serie de
inserciones y actualizaciones contra una serie de tablas.

si este procedimiento se realiza con exito debemos ejectutar un
comando del sistema (este comando abre una conexion a una
maquina remota, le envia una breve informacion y cierra la conexion)

PROCEDURE sp_hace_cosas_y_envia_informe
inserta tablaZ
actualiza t1
...
SI todo_esta_correcto
@COMANDO = 'c:\talk.exe' + @CODIGO
EXEC master..xp_cmdshell @COMANDO
FINSI

FIN PROCEDURE

el problema:
para que este procedimiento almacenado pueda lanzar el programa
de comunicaciones debo permitir la ejecucion de el procedimiento
extendido xp_cmdshell al usuario que ejecuta el procedimiento
'sp_hace_cosas_y_envia_informe'

cosa que me parece, cuando menos, bastante osada :-)
puesto que ese usuario podria ejecutar cualquier comando del sistema.
borrar archivos importantes, por ejemplo.


la pregunta:
¿hay alguna forma de permitir la ejecucion de un programa en concreto?
o mejor aun...
hay forma de decir: "este procedimiento almacenado tiene permiso
para lanzar este procedimiento" asi evitaria dar cualquier tipo
de permiso adicional al usuario que usa el procedimiento.

¿como solucionariais este problema?

-

espero haberme explicado bien,
muchas gracias, un saludo
email Siga el debateRespuesta 7 respuestasRespuesta Tengo una respuesta

Preguntas similare

Mostrar todos los temas similares

Leer las respuestas

#6 Paulino Padial
11/01/2005 - 13:19 | Informe spam
jajaja, entonces el problema que hay que currarse es la seguridad wireless,
de eso no hay duda !!!! ;)

__________________________________________

Paulino Padial López
Murcia - España

Microsoft SQL-Server Administrator.
Microsoft Certified Solution Developer
Microsoft Certified Trainer
Oracle Certified Asociate
__________________________________________
"rodrigo" escribió en el mensaje
news:
hola, gracias por vuestras respuestas, me habeis dado ideas
para implementar una posible solución en el caso de que me
la pidan.

Os cuento un poco como es el entorno de trabajo...
la aplicacion va a funcionar en una red local,
pero a través de wireless, de ahi mis reservas en cuanto a
seguridad (aunque, en cualquier caso, no sería facil
ejecutar comandos aleatorios en el servidor... es mejor
evitar incluso la posibilidad.)

Los clientes serán dispositivos PocketPC y todo
el trafico llega a SQL Server(version 2000, desconozco el
SP instalado que tiene el cliente) a traves de un servidor IIS.


muchas gracias de nuevo, un saludo.

Respuesta Responder a este mensaje
#7 rodrigo
11/01/2005 - 16:12 | Informe spam
"Paulino Padial" wrote in
news::

jajaja, entonces el problema que hay que currarse es la seguridad
wireless, de eso no hay duda !!!! ;)




jeje, cierto es :-)

el caso es que estaba barajando todas las posibilidades
que se me ocurrieran para que no me pillara el toro :-)

de todas formas... no me gusta nada eso de que solo
se pueda permitir o todo o nada... en fin

gracias por todo, un saludo
email Siga el debate Respuesta Responder a este mensaje
Ads by Google
Help Hacer una pregunta AnteriorRespuesta Tengo una respuesta
Search Busqueda sugerida