Microsoft SQL Server 2005 – správa security

sqlserver2005 – pravo PUBLIC na db = pouze pravo connect k db – a ostatni prava se pak nasledne ridi pravy GUEST
– role – rovnocena skupine uzivatelu => pokud pouzivam AD groups, tak vlastne mi jsou role k nicemu
– aplikacni role – protoze sice davam uzivateli plna prava k db, chci mu ji dat jen pomoci nejake aplikace
– schema – rovnocena skupine objektu – slouzi jako nositele opravneni a zjednodusuje si jimi pridelovani prav
– vsechny loginy jsou v sys.db master v tabluce syslogins (pro jejich vypis tedy "SELECT * FROM sys.syslogins" – zde jsou i hesla u SQL loginu, ale zahashovane)
– login – umoznuje se pripojit k SQL serveru/instanci
– user – umoznuje se pripojit k SQL db (pro jejich vypis pouziji onu db a dam "SELECT * FROM sys.users") – pozor pri jeho vytvareni na checkboxy Enforce Password Policy (pokud je SQLserver v domene, tak si nacte GPO a aplikuje si password policy z ni / pokud neni v domene tak se ridi Local Security Policy na serveru == ignoruje ale nastaveni Password History a Password Age) a Enforce Policy Expiration (pokud zustane zaskrtnuto Change Password on next, tak si uzivatel nemuze prihlasit k SQL napr. pres sqlcmd, protoze tam nema moznost zmenit si to heslo
– mapping user+login – je 1:1 (pokud se uz vaze jeden db user na jeden srv login, tak uz dalsi db user k tomu srv loginu neudelam!!)
– pokud je WinUser clenem jeste WinGroup a WinUser mel udelany SQL Login a WinGroup mela taky SQL Login, tak overeni se provede na zaklade WinUser, protoze pri overovani Windows se v Tokenu posila nejdrive SIDUser a teprve potom SIDGroups (to je natvrdo ve Win)
– toto umoznuje prenos db, protoze ta obsahuje users, ale musim pak jeste prenest i master db, nebo alespon loginy mapovane na users
– objekty v db – (pro jejich vypis pouziji onu db a dam "SELECT * FROM sys.sysobjects")
– prava na objekty – (pro jejich vypis pouziji onu db a dam "SELECT * FROM sys.sysprotects") – reseno primitivne temito (a jeste dalsimi) tabulkami, a tyto musi SQL server projit, aby zjistil prava – proto je to vsechno nabufferovane v RAM, aby byla odpoved okamzita /// objekt ma nejvyssi prioritu ohledne prav
– 3 stupne efektivnich prav na urovni SQL (na urovni Windows je to ACL) = grant/revoke/deny (deny ma nejvyssi prioritu)
-aplikacni role – daji se ji prava povysit i ponizit – vytvori se role, uzivatel se prihlasi (nastavi se mu prava podle user prav), pak zavola
sp_setapprole nazevrole, heslorole a nyni ma prava presne takova, ktera ma approle
-1. vytvorim login (= uroven SQL server/instance) – zvolim authentikaci, server role, default language (podle tohoto nastaveni se zobrazuji zpravy tomu uzivateli – musi samozrejme byt nainstalovane znakove sady onoho jazyka ve Win) – v tuto chvili se muze pripojit pouze k sys. dbs
-2. vytvorim user (= uroven db) – vlastnosti loginu – user mapping – zaskrtnu databazi a tim se vytvori user na te one db — zvolim mu default schema (tim mu jen jakoby priradim vychozi prekladani)
Keys and Certificates
– symmetric key – jako klic u dveri – odemykam i zamykam nim (kdyz ho ztratim, tak ho nekdo kompletne pouzije)
– asymmetric key – je to par – nejcasteji se pouziva s certifikaty, ktere ho vylepsuji
– v SQL se daji vytvorit pouze 1kB klice, vetsi klice se musi vytvorit mimo a pak je naimportovat do SQL
– service master key (asymm) – vytvori se automaticky pri instalaci!
– db master key (asymm) – muze se vytvorit na db a po vytvoreni se kopiruje do master db, takze pozor na to
– certificate – pouziva se k podepisovani aplikace (pri editace aplikace se klic porusi), k sifrovani dat v tabulkach/desifrovani
– – k namapovani user na certifikat
SQL Server 2005 Best Practise Analyzer – vyborna utilita na audit security</div>

číst dále...

Microsoft SQL Server 2005 – instalace

sqlserver2005 licencovani na server a na instanci je na kazdy osazeny slot CPU – pokud se jedna o failover cluster s active/passive nod, tak se plati pouze za active nod
Installing SQL2005
– named instance – ma svoje sluzby – da se vyborne vyuzit na clustering
– kazda sluzba SQL by mela byt svuj domenovy ucet (hlavne reporting services) – nemusi byt lokalni administrator, je to resene pres GPO, ktere udela sam instalator (jako run as service);pokud ale existuje GPO security, tak se doporucuje dat SQL servery do jednoho OU a na nem si pohlidat GPO
– Windows Collations – je reseni znaku na urovni OS (Windows locale)
– SQL Collations – protoze napr. NTFS neni case-sensitive, ale v SQL ho chci pouzit, tak pouziji SQL collation
– unattended instalace pomoci "setup.exe /settings sett.ini"
– sett.ini se da vyrobit pomoci zvoleni REMOTE instalaci pri klikani setup.exe
– zvlast davat na disky ldf a mdf/ndf
– jak editovat uz stavajici instalaci serveru/instance = add/remove programs – Microsoft SQL Server 2005 (vzdy pouzivat pouze tuto polozku) – change – …
Surface Area Configuration
– udrzet max. miru bezpecnosti pri uzivani sql serveru
– CLR = common language runtime
– DAC = dedicated administrator connection – pokud dojde RAM, tak se dostanu ke konzoli – funguje tak, ze pri startu sluzby se rovnou dedikuje misto v RAM pro budouci spusteni konzole
– xp_cmdshell = prikazy pres tento sel nejsou nijak hlidane SQL serverem.
SQL Server Configuration Manager
– nizkourovnova konfigurace sluzeb, site (ktere interface, porty, …) a klienta (nativni sql klient umi aliasy)
SQLcmd
– pouziva OLEDB provider
– jak spustit napr. nejaky vzdaleny skript pres konzoli = "sqlcmd -s server -i sqlfile.sql"
– umi pouzit promenou (parametr -v), takze do sqlfile.sql napisu promene ve tvaru $(variable) a pote pomoci "sqlcmd -s server -i sqlfile.sql -v variable=hodnotapromene variable2=hodnotadruhepromene"
– a jeste treba do souboru vystup pomoci -o takze: ""sqlcmd -s server -i sqlfile.sql -o cestasoubor.txt -v variable=hodnotapromene variable2=hodnotadruhepromene"
– da se pak jeste spustit v admin rezimu (pres DAC), kde se daji spoustet i prikazy, ktere jinak nejsou povolene (napr. shutdown,…): "sqlcmd -s server -a"
– v express edici sql je to jediny tool jak pracovat s tabulkami
SQL Server Management Studio
– dobre je zobrazit Registered Services – kde se daji delat server skupiny pro vetsi prehled; kazdy server muze byt pouze v jedne skupine
– dobre je zobrazit Template Explorer – kde jsou priklady scriptu/sablony – pomoci CTRL+SHIFT+M doplnim promene sablony (specify values for templates…)
– vyroba vlastni sablony: vytvorit si skupinu, sablonu a pak dat edit
– parametry v sablone se davaji do – sablona pro vytvoreni databaze je MODEL db v System Databases
– pouziva nemodalni okna – nezavisla na rodicovskych
– cokoli naklikam v konzoli, mohu nahore pomoci tlacitka SCRIPT hodit do scriptu a podivat se, jak se operace provede skriptem
– nastaveni textoveho editoru – oznacit ho, tools, options, text editor
– database-options-processes- BOOST SQL SERVER PRIORITY a USE WINDOWS FIBERS(pokud je vice vypoctu, tak diky tomuto se mohou delat soucasne a ne po sobe) – pokud se jedna o server, na kterem je jen SQL, tak to mohu oboje zapnout a jeste nastavit pocet (kolik jader, tolik vlaken)</div>

číst dále...

Microsoft SQL Server 2005 – správa souborů a databází

sqlserver2005 -IIS uzira SQL RAM, protoze SQL sio kontroluje volnou RAM a kdyz ji je malo tak si snizi pamet, ovsem tu uvolnenou si IIS ukradne a tak je to zacyklene, az je buffer SQL na minimu a pak jde vykon dolu, po restartu serveru se SQL vizualne zrychli, ale to je tim, ze IIS uvolnilo pamet… zacne ovsem znovu proces kradeni RAM

– BUFFER je jen jeden v MS SQL

– LDF davat na nejrychlejsi disky na ZAPIS (nejlepsi by bylo RAID01, kompromisem je RAID1 nebo RAID5)
– MDF/NDF davat na nejrychlejsi disky na CTENI
– na SAN je to resene aplikaci nad SANkou, takze dnes se prakticky ani nevi v jakem modu ktery disk jede (system nastavuje co nejvyssi rychlost a zaroven co nejvyssi redundanci)
– podivat se na performance citace PHYSICALDISK-AVERAGE DISK SEC/TRANSFER a PHYSICALDISK-AVERAGE DISK QUEUE LENGHT (max. 2) a SQL SERVER BUFFER CACHE-BUFFERCACHEHITRATIO(max. 90%)-pokud je vic, tak je malo RAM
– pokud nebudu zalohovat db, tak ldf poroste az zaplni disk
– kolik zabira co mista v db, tak ji v SSMS vyberu a kliknu na Report (vola metadata ze schemy SYS)
– filegroups – seskupuji nekolik mdf/ndf – pouziva se ke zvyseni performace a napr. pro archivaci, protoze filegroup mohu nastavit read-only
– schema – pomaha pouze prekladat relativni jmena k tabulka
– indexy – pokud je fragmentace nad 30%, tak rebuildovat
– transaction log file – limitovat velikost na 50% celkove velikosti db
– jako admin mohu vse spravovat pres SSMS, nebo pres prikazy (views, sp, metadata/dynamicmetadata pohledy) tim, ze jako admin mam prava SELECT * SYS, ve ktere jsou prave tyto objekty ulozene</div>

číst dále...

Microsoft SQL Server 2005 – disaster recovery

sqlserver2005 Recovery Model
– Full – nejvyssi schopnost obnovit db – zalohuje se db i transact.log (log tedy stale roste)
– Simple – obnovuje pouze posledni full backup – pri kazde zaloze db se transact.log vycisti o neaktivni casti
– Bulk-Logged – je to velmi podobne full, pouze ma mene mista na transact.log
– backup je BEZ komprese!
– role db_operator ma moznost zalohovat konkrektni db
– Backup Device – je "alias" pro cestu kam zalohovat, aby nebylo potreba pri zmene zalohovaciho umisteni menit vsechny skripty – resi toto sp_addumpdevice, nebo v konzole Server Objects
– Options v Backup… Append – prida na konec souboru dalsi backup (pouziva se pro transact.logy); Overwrite – prepise cely backup
– Backup Job – naleza se pak v SQL Agentovi, vysledek Jobu se da nalezt pak hned pod nim v Job Activity Logu, vyberu udalost a dam History (zaroven je to takove v Event Vieweru)
– backup umi mirror – mohu backupovat soucasne na nekolik mist, ale neumi HDD a TAPE zaroven
– pouzivat vzdy CHECKSUM a Verifikaci
– ohledne FULL recovery modelu – pokud se nezalohuje kompletne cela db, ale jen nektere jeji soubory, tak se pouziva 1 zaloha db a nekolik zaloh t-logu – pri restoru se pak udela restore database with recovery (leave the database ready to use), pak postupne vsechny t-logy pomoci restore log with norecovery (leave the database non-operational, behem tohoto se databaze hlasi jako Restoring…) a na poslednim teprve restore log with with recovery
Database Snapshot (pouze v Enterprise verzi)
– musi byt na NTFS
– neni nahradou backupu!!!!
– nevytvari logy (pracuje pouze na storage enginu, ne na sessions)
– je pouze read-only – toho se da vyuzit pro uzivatele, ktery jen potrebuje read k nejakym history data
– behem vytvoreni je prazdny (pouze si alokuje misto na disku, podle velikosti db), teprve az se udela nejaka zmena v db, tak ty jeste nezmenene stranky se kopiruji do snapshotu
– umi i restore cele databaze, pokud se zmenila cela, pomoci restore database db from database_snapshot = ‚snapshotdb‘ – mnohem rychlejsi nez backup
– neda se db dropnout, pokud je nad ni snapshot
– prace se snapshotem je pouze pres prikazy – da se pouzit ovsem sablona z templates (ta je ale pouze pro jeden soubor – pokud jsou tam tedy dalsi soubory db, tak ty se musi dopsat!!) – kazdy db soubor ma tedy svuj soubor snapshotu (.ss)
Backing Up System Databases
– pokud nemam jejich zalohu, da se pouze provest pouze navrat ke stavu tesne po instalaci – pomoci "setup.exe /REINSTALLMODE=OMUS"
– pro restore zazalohovane sys. database musim spustit SQL v single-user modu, protoze pri nem se nehleda master db ("sqlservr.exe -c -m")</div>

číst dále...

Microsoft System Center Configuration Manager – client agents

System Center Configuration ManagerPokud planujete prejit ze stavajiciho Microsoft Systems Management Serveru 2003 na Microsoft System Center Configuration Manager 2007 (v tuto chvili SP1 R2) chci Vas upozornit, ze jiz nebudete moci konfigurovat na sekundarni site jine nastaveni nez je na primary site. Pokud si nainstalujete nekam na otestovani ConfigMgr 2007 uvidite, ze sekce Client Agents uz na secondary site vubec neni. Nedeste se, to neni chyba Vasi instalace, ale vlastnost. Samozrejme, ze se take jedna o licencni politiku. Pokud totiz chcete rozdilne nastaveni na podrizenych site, musite si poridit dalsi licenci pro primary site. Zvazte proto, zda opravdu potrebujete rozdilne nastaveni pro urcite lokality, nebo zda jste schopni dojit ke kompromisu a tim usetrite a samozrejme si take zjednodusite spravu ConfigMgr.

číst dále...
Novější příspěvky | Starší příspěvky