Rollback

A múltkoriban volt szerencsém a Center of Internet Security nevű szervezet egy iparban több helyen használatos SQL security ajánlását kielemeznem megvalósíthatóság szempontjából. Az eredmény igen érdekes, ámde nem meglepő lett: bizonyos helyeken a “kössük meg a rendszergazda kezét is, tegyünk rá bilincset is, majd vágjuk le” szemlélet ütött ki, míg máshol már-már alapvető dolgokról feledkeztek el (mint országos cimborám, az SQL Browser teljes megsemmisítése). A DAC és a linked server letiltása mondjuk két olyan dolog, hogy engem megleptek vele, bár biztos van olyan trace flag, ami letiltja a DAC-ot.

A jóleső sznob fikázáson túl viszont el kell ismernem, egész jó a doksi, persze le kell szögeznem, a security szó kétszer akkora betűvel látszik, mint az SQL, és ha valakinek volt kételye, hogy a biztonságnak ára van, akkor az itt most el kell, hogy oszoljon, amikor több tonna auditlogot fog gyártani a szervere, majd leáll, amikor betelt a diszk :) Viszont mivel pozitív srác vagyok, egyrészt leírtam magunknak, hogy mit hogy kell/lehet implementálni a benchmarkból, plusz amivel nem értettem egyet, azt megírtam a CI Security-nak, néhány egyéb javaslat mellett. Gondoltam, hogy ha csak meggondolják, már megérte, én meg megnyugszom tőle, mert onnantól kezdve rajtam nem múlhat, hogy jó legyen a benchmark. Na, erre visszanyalt a fagyi. Gyakorlatilag azt mondta az ottani ember, hogy ha olyan okos vagyok, akkor üljek be az ajánlásgyártó csoportba. Ez egyrészt nagyon hízelgő, májam ki is ütötte az oldalamat, másrészt viszont valamikor élnem is kéne, úgyhogy most gondolkozom, hogy mit is mondjak erre az ajánlatra…