Authentication and authorization of database users - minimalisation of access granted to users.

Podstawowym celem pracy jest przegląd mechanizmów związanych z uwierzytelnieniem i autoryzacją w najpopularniejszych systemach zarządzania bazami danych, oraz utworzenie programu mającego na celu ułatwienie przyznawania minimalnego dostępu dla osób zajmujących się administracją baz danych. Przegląd literatury pozwolił na spojrzenie na ogólną problematykę bezpieczeństwa baz danych i zagrożeń z nimi związanych. Przedstawiono wstęp do relacyjnych baz danych, omówiono również standard SQL związany z przyznawaniem dostępu. W pracy omówiono dobre praktyki stosowane do zabezpieczenia baz danych przed nieautoryzowanym dostępem nie tylko na poziomie samego systemu zarządzania bazą danych, ale także na wyższych poziomach, systemu operacyjnego czy sieci komputerowej. W przeglądzie literatury główny nacisk położono na uwierzytelnianie i autoryzację użytkowników w odniesieniu do poszczególnych systemów zarządzania bazami danych. Omówione zostały mechanizmy uwierzytelniania i autoryzacji dla systemów zarządzania bazami danych wiodących producentów: Oracle Database, Microsoft SQL Server, IBM DB2, MySQL czy Postgresql. To właśnie bazy tych producentów są najczęściej wykorzystywane, jednocześnie najbardziej narażone na próby dostępu przez nieautoryzowanych użytkowników.W kolejnej części pracy omówiono instalację systemów zarządzania bazami danych, wykorzystywanych jako środowisko developerskie niezbędne do napisania programu. Omówiona została implementacja projektu napisanego w języku Java. Ze względu na złożoność i mnogość poleceń SQL jakie występują w różnych implementacjach baz danych, projekt ograniczony został do analizy zapytań, jakie użytkownicy wykonują w zakresie tabel czy widoków, natomiast kwestie związane z administracją baz danych nie zostały uwzględnione w projekcie.Utworzony program analizuje zapytania SQL jakie zostaną dostarczone do niego z plików tekstowych, i na tej podstawie generuje odpowiednie uprawnienia do baz danych. Program pozwala również odczytywać pliki tekstowe zawierające nie tylko same zapytania SQL, ale potrafi również odnaleźć zapytania SQL wśród dowolnego tekstu. Wygenerowane uprawnienia pozwolą na uzyskanie minimalnego dostępu jaki powinien zostać przyznany użytkownikowi, w oparciu o zanalizowane zapytania SQL. Program współpracuje z systemami zarządzania bazami danych omawianymi w niniejszej pracy. W następnej części pracy przedstawiono zaimplementowany program ilustrujący problem podany w pracy, wraz z opisem jego funkcjonalności. W końcowej części pracy znajdują się wnioski jakie nasunęły się autorowi niniejszej pracy podczas jej pisania.

The Main goal of this MA thesis is review of mechanisms related with authentication and authorization in most popular relation database management systems, and creation of program which will facilitate granting of minimal access to databases, for people responsible for database administration. Review of literature allowed to see general problems, related with database security and vulnerabilities related with it. In this MA thesis introduction to relational databases was described, also description of SQL standard related with granting access was covered. Next part of this publication covers best practices which are adopted to secure databases from unauthorized access not only at the database level, but also on operating system, or network level. Literature review was focused on authorization and authentication of users with regard to particular relational database management systems. Mechanisms of authentication and authorization were described for leading producers of relational database management systems like: Microsoft SQL Server, IBM DB2, MySQL czy Postgresql. Databases of these producers are most popular and most vulnerable for attempts of unauthorized access. Next part of publication covers installation of relational database management systems, which were used as development environment necessary to develop program. Implementation of java program was also described in this section. Because of complication and quantity of SQL statements which exist in different relational database management systems, project was limited to analyze queries which are executed by users in reference to tables or views. Queries related with database administration are not in scope of this project. Program that was created analyses SQL queries which are delivered to it as text files, and after analyze creates appropriate privileges to databases. Program can also read text files that contains SQL queries among other text in file. Privileges that are generated, allow to gain minimal access for users which should be granted according to SQL queries delivered to program. Program cooperates with relational database management systems, which were described in this publication.Next part of publication presents implemented program with its description of problem that was revealed in this publication. At the end author presents conclusions that have been emerged during writing of this publication.