作者don750421 (1+1≠2)
看板C_Sharp
標題[問題] 有沒有改DB帳密而不需要修改程式的方法?
時間Wed Apr 9 22:48:51 2014
請問一下,
有沒有修改DB帳密而不需要修改程式的方法?(先不討論修改DB帳號)
因為部門內有人離職或調動單位,為了稽核要求,必須修改DB連線的密碼。
稽核要求的條件是,如果上午有人離職,下午就要修改DB連線帳密。(最慢4小時內)
但是程式部屬到各地大約30~50台,該如何以最短的時間內更改程式內的DB連線密碼?
因為程式幾乎24小時都有人使用,部屬至各地的程式目前沒有中央控管。
曾經有考慮過將連線字串存在xml或ini檔中,透過讀檔案的方式來存取DB。
但是,如果30~50台電腦(可能更多),這樣的時間跟修改程式好像差不多= =
想請問一下,各位前輩有沒有遇過這類的Case?大都使用何種方式?
上面要求,為了達到稽核要求,可以提出各種方式,甚至另購一台Server管理亦可。
當然,是以最少花費為優先。
麻煩各位前輩了,謝謝
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 36.237.103.244
※ 文章網址: http://webptt.com/m.aspx?n=bbs/C_Sharp/M.1397054934.A.A41.html
1F:推 MacPerson:其實可以對config做加密,PG可以不用知道帳密是什麼, 04/09 23:09
2F:→ MacPerson:只要連得上去就行了 04/09 23:09
可以請前輩說詳細一點嗎?有點不太能理解。對Config加密,那麼DB要如何解密?
3F:→ m339606:之前做App的做法是由程式直接向Server要連線字串 04/09 23:42
4F:→ m339606:App內沒有存任何連線字串,只有存Server的位置 04/09 23:43
5F:→ m339606:所以改連線字串直接在Server改就好了 04/09 23:43
6F:→ m339606:至於Server要如何核實Client就自己想像囉 04/09 23:44
7F:→ m339606:等於就Runtime才取得連線字串囉 04/09 23:48
這個做法雖然有辦法達到"更改密碼"的目的,但是,假設今天是部門人員調離開發部門
那該位員工是否也可以自行開發程式向Server取得連線字串?
無法防範"調離單位員工無法存取DB"的目的,感謝前輩提供意見。
※ 編輯: don750421 (36.237.103.244), 04/09/2014 23:58:10
8F:→ Litfal:所以DB層和前端要分開,中間透過WebService提供服務。 04/10 00:06
9F:→ Litfal:APP端使用帳號登入WebService來取得服務,而不是自己連。 04/10 00:08
10F:→ Litfal: DB 04/10 00:08
11F:→ Litfal:改連線帳密就只是WebService和DB之間的事而已。 04/10 00:10
12F:→ Litfal:如果離職的人只接觸到前端,那關閉他的帳號,問題更小。 04/10 00:10
13F:→ m339606:要讓已經離職的員工無法存取DB最直接也是最簡單的方式就 04/10 14:00
14F:→ m339606:DB直接限制連線網域,將外網完全封死 04/10 14:00
15F:→ m339606:我App就是使用WebService與帳號密碼來存取連線字串 04/10 14:00
16F:→ m339606:但是這方法只是將問題點從DB帳號密碼改到WebService而已 04/10 14:01
17F:→ m339606:我推薦使用自製協定加上SSL與Client指紋碼來驗證 04/10 14:02
18F:→ m339606:說實在你要擋住開發人員就綁網域、限制Client最直接而已 04/10 14:03
19F:→ m339606:不然就只是無限的把帳號密碼的問題丟到另外一個帳號密碼上 04/10 14:04
20F:→ m339606:弄個硬體防火牆來設白名單吧! 04/10 14:15
21F:→ StupidGaGa:你的需求跟情況可以再說明詳細點嗎? 04/15 14:29
22F:→ StupidGaGa:是員工離職=>修改DB帳密,還是員工離職,不能存取DB? 04/15 14:32
23F:→ StupidGaGa:根據你的需求跟情況,解法有很多種… 04/15 14:33