Apprenti : Romain Jeangérard Période : 1er année d’alternance du 28/08/2017 au 29/06/2018
Portefeuille de compétences
Contexte professionnel
L’objectif est de gérer les privilèges d’accès à une base de données prédéfinis et de vérifier l’exactitude de sa mise en place. Nous avons ensuite rédigé une documentation dans laquelle nous détaillons le paramétrage du compte utilisateur et de ses privilèges attribuées.
Situation (mission) N° 1 : Gestion de privilèges d’une base de données
Besoin : Sécurisation d’une base de données en fonction du type d’utilisateur
Environnement : ● Logiciel : MariaDB ● Système : Windows 10 ● Matériel : Pc de bureau
Utilisateurs concernés par la situation
- Collaborateur d’une entreprise fictive
Tâches réalisées : - Mise en œuvre : Description du mode opératoire à suivre afin d’effectuer le paramétrage - Vérification : Exemples et contre-exemples pour vérifier l’adéquation du paramétrage et de l’objectif ciblé.
Activités Résultats attendus/productions Vécu ou simulé
Ou observé A1.2.5, Définition des niveaux - Liste des utilisateurs, des groupes Simulé d'habilitation associés à un service et des habilitations associées - Liste des ressources et des droits associés A3.3.3, Gestion des identités et des - Droits affectés Simulé habilitations - Efficience des moyens de protection A4.1.3 Conception ou adaptation d’une Schéma de données Simulé base de données
Page 1 sur 9 Table des matières
1. Création des différents comptes et attributions de privilèges
1.1. Assistant 1.2. Accueil 1.3. Comptable 1.4. Chef 1.5. Nettoyeur
2. Vérification 2.1. Assistant 2.1.1. Exemple 2.1.2. Contre-exemple 2.2. Accueil 2.2.1. Exemple 2.2.2. Contre-exemple 2.3. Comptable 2.3.1. Exemple 2.3.2. Contre-exemple 2.4. Chef 2.4.1. Exemple 2.4.2. Contre-exemple 2.5. Nettoyeur 2.5.1. Exemple 2.5.2. Contre-exemple
Page 2 sur 9 1. Création des différents comptes et attributions de privilèges
Nous décrirons le mode opératoire à suivre en vue de la création des
comptes et de leurs paramétrages
1.1. Assistant
Pour les assistants, nous avons créé un compte appelé “bnq_assistant”,
auquel on ne pourra se connecter que depuis le réseau “172.16.0.0”, et qui n’aura que la possibilité de consulter les tables.
1.2. Accueil
Pour les personnes de l’accueil, nous avons créé le compte “bnq_accueil”,
accessible depuis le réseau “172.16.0.0”. Celui ci pourra consulter uniquement les données “nom” et “id_client” de la table “Client”
Page 3 sur 9 1.3. Comptable Le compte “bnq_comptable” a été créé pour les comptable de l’entreprise.
Ils auront alors la possibilité de consulter des données de la base de données
“ma_banque”, insérer des nouvelles données, modifier des données existantes, et de les supprimer des données
1.4. Chef
Le compte “bnq_chef” a été créé pour le chef de l’entreprise.
On lui attribue les habilitations suivantes :
- consulter des données - modifier des données existantes - supprimer des données - créer des comptes utilisateurs - attribuer des privilèges à des compte à créer ou des comptes existants
Page 4 sur 9 1.5. Nettoyeur
Pour finir, nous avons créé le compte “bnq_nettoyeur”
Ce compte a comme seule habilitation celle de créer des utilisateurs/comptes
2. Vérification 2.1. Assistant 2.1.1. Exemple
Pour prouver que l’option SELECT fonctionne pour le compte
“bnq_assistant”, on teste ligne de commande suivante : SELECT*FROM client
La table “client” de la base de donnée “ma_banque” s’affiche bien
Page 5 sur 9 2.1.2. Contre-exemple
Pour prouver que le compte assistant ne peut faire que consulter les tables, on rentre la ligne d’une commande à laquelle il n’est pas autorisé : INSERT INTO client
On constate que le compte “bnq_assistant” n’est pas autorisé à insérer des
données à la table
2.2. Accueil 2.2.1. Exemple
Pour prouver que “bnq_accueil” peut lire les tables “nom” et “id_client” de la table “client”, on teste la commande suivante : SELECT nom FROM client
Et SELECT id_client FROM client
La table s’affiche, donc les privilèges sont accordés correctement
2.2.2. Contre-exemple Page 6 sur 9 Pour prouver que “bnq_accueil” ne peut pas accéder aux autres colonne de la table “client”, on rentre la commande suivante : SELECT email FROM client
La commande ne marche, l’accès est refusé. Les privilèges accordés sont
respectés.
2.3. Comptable 2.3.1. Exemple
Après s’être connecté au compte “bnq_comptable”, on tape la
commande suivante pour afficher l'intégralité des colonnes de la table “client” : SELECT*FROM client
La table s’affiche, les privilèges sont respectés
2.3.2. Contre-exemple
Page 7 sur 9 Pour prouver qu’on ne peut pas se connecter plus de deux fois par heure, on se connecte et déconnecte 3 fois avec les lignes de commandes suivantes : MariaDB [ma_banque] > exit # mysql -ubnq_comptable -p -h ****.****.****.****
Au bout de la 3iem tentative de connection, l’accès nous est refusé, donc le
privilège est bien respecté
2.4. Chef 2.4.1. Exemple
Après s’être connecté au compte “bnq_chef”, on cherche à créer un autre
utilisateur avec la commande suivante : CREATE USER
La création d’utilisateur fonctionne, les privilèges est respecté
2.4.2. Contre-exemple
On essaie de créer une table avec la ligne de commande suivante :
CREATE TABLE
Page 8 sur 9 Le compte “bnq_chef” ne peut pas créer de table, conformément aux privilèges qui ne lui sont pas accordés
2.5. Nettoyeur 2.5.1. Exemple Après s’être connecté au compte bnq_nettoyeur, on veut supprimer un utilisateur avec la commande : DROP USER
La commande fonctionne, le privilège est respecté
2.5.2. Contre-exemple On veut maintenant accèder à une base de données avec la commande USE
L’accès nous est renié, conformément aux privilèges qui ne lui sont pas accordés
