DBA 是否应该记录以下人员的密码应用程序登录还是这应该是开发人员/分析师的责任?我所说的应用程序登录是指应用程序用于访问数据库的登录。通常每个应用程序都有一个登录。
我指的不是为系统用户创建的用户帐户密码。
答案1
应用程序开发人员有责任跟踪访问数据库所需的凭据。原因是应用程序需要该密码才能完成其工作,但数据库无论如何都会继续运行。
如果开发人员丢失了密码,DBA 的工作就是重置密码并提供新密码,但他们绝对不应该保留明文版本。想想系统管理员和用户。系统管理员不知道用户的密码,只负责重置和提供密码。
答案2
这是我的 0.02 美元。
DBA 应该跟踪应用程序密码。开发人员永远不应该拥有生产密码或 QA 密码。DBA 应该保留所有这些密钥,并根据需要将它们提供给执行部署的系统管理员。
我个人有一个小型网络应用程序,是我在几家公司之前开发的,我发现它非常方便。它允许您将用户名和密码放入数据库,数据库以安全加密的形式存储密码。所有对该应用程序的访问都会被记录下来,以进行 SOX 审计。
通过应用程序授予对帐户的访问权限,以便作为 DBA,我可以创建一个帐户并授予开发人员在应用程序内对该帐户的读取权限,以便他们可以看到开发密码。系统管理员对 QA 和生产密码的访问权限也一样。
答案3
我认为,DBA 没有必要知道或参与任何他们不需要知道的密码来执行他们的工作。当他们忘记密码时,您可以帮助他们重置密码,提醒他们密码没有更改/强制更改周期和其他类似的外围功能,但您没有责任成为密码监控者。如果您正在监控密码,它还会让您知道/有权访问密码。
我建议每个应用程序都有一个应用程序管理员,为他们的团队完成这项工作,这样一切都在“本地”管理。只要监控帐户/密码组合的使用情况,这样就没有人可以匿名访问数据,那么一切就都没问题了。
答案4
我们无法给你一个明确的答案,因为不同的答案对于不同的组织来说都是合适的。你真的应该在内部进行讨论,以确定谁应该对内部信息负责你的组织。如果你们不能就这么小的事情达成一致,那么你们可能还有其他问题需要解决。在这种情况下,我们认为应该没有什么区别。