即使在“野外”安装时，哪种 DBMS 适合保持模式私有？

Question

我有一个连接到数据库服务器的应用程序服务器。 我希望能够为用户提供安装程序，并在一定程度上放心地相信数据库模式是安全的。

我知道，如果不控制安装它的计算机，我将不得不接受一些风险 - 一个拥有正确工具和知识的坚定的人可以直接查看内存并提取信息。

最初，我认为我的重点领域只是将凭据添加到安装程序，而无需在十六进制编辑器中轻松查看它们。

然而，当我开始研究时，我了解到对于 PostGreSQL，即使我静默安装数据库并且不向用户提供凭据 - 他们也可以简单地更改基于文本的配置文件（pg_hba.conf），并且重新启动服务器，无需凭据即可完全访问数据库。

这种情况在其他 DBMS 中是否安全？ 在这种情况下，大多数商业产品如何保护其架构？ 大多数产品都会使用嵌入式数据库吗？

---

编辑：我假设（可能是错误的）某些产品依赖于用户实际上从未直接接触过的数据库。 我当然从来没有见过他们，因为他们的设计方式是用户不需要的——可能使用嵌入式数据库。

Answer 1

当某人可以物理访问运行此 DBMS 的计算机时，嵌入式 DBMS 如何阻止某人修改其存储（此非嵌入式硬件上下文中的文件）？ 通过模糊实现安全是一个有风险的主张。

Answer 2

这个想法将会遇到与 DRM 相同的问题。 您无法阻止有决心的人访问，并且只会给您的客户带来普遍的痛苦和折磨。 只是不要这样做。

SQLite 将其整个数据库格式包装到一个文件中，您可以想象就地对其进行加密和解密。 当然，缺陷在于用户现在需要密钥才能使用数据库，而唯一可能发生的方法就是将其提供给他们，也许是通过在编译时对其进行硬编码（通过模糊实现安全性）或电话家庭计划（有很多理由说明为什么这是一个坏主意）。 另外，现在他们会恨你，因为你挫败了任何有用的备份系统的尝试，并且他们的启动性能很糟糕。

此外，没有人真正关心模式。 我不想向您透露这一点，但模式设计并不是一个难题，当然也永远不会成为合法的竞争优势（除了知识表示和数据仓库等一些特定领域之外）。 模式通常从一开始就不值得保护。

如果这对您来说真的很重要，请改用托管应用程序。

Answer 3

大多数商业产品如何
在此保护他们的模式
场景？

我不相信大多数商业产品会采取任何措施来保护其架构。

Answer 4

您想解决什么问题？ 没有什么可以阻止 DBA* 对标准数据库做任何他想做的事情，正如其他人指出的那样，它积极敌对地干扰特定于站点的需求，例如备份和数据库升级。 您最多可以加密数据库的内容，但即便如此，您也必须提供应用程序实际运行所需的解密密钥，并且有动机且充满敌意的 DBA 可能会破坏它。

毫无疑问，军事和情报界拥有数据库，甚至连模式都是高度机密的，但我不知道它们是受到技术手段的保护还是只是受持枪大人的保护。

(*) DBA 或系统管理员能够修改 pg_hba.conf 等文件。

Answer 5

大多数商业产品不保护其模式。 他们属于两个阵营之一：

要么他们将企业级数据库用于产品的关键组件（例如工资系统），在这种情况下，不会尝试隐藏架构/数据。 在大多数情况下，客户无论如何都需要控制数据库 - 配置数据库的备份方式、能够创建集群环境等。

另一种情况是，如果您的“数据库”只不过是一个小设置或桌面应用程序的存储文件（例如 FireFox 中的历史记录和书签数据库）。 在这种情况下，您应该只使用嵌入式数据库（例如 SQLite，与 FireFox 相同）并添加流加密层（有一个名为 SEE 的官方版本），或者只使用嵌入式数据库并忘记加密层，因为用户首先需要安装自己的数据库工具才能读取该文件。

Answer 6

据我所知，没有任何商业产品可以“保护”其架构。 您希望架构受到什么保护？

请考虑以下几点：

• 毕竟，唯一可以保护 RDBMS 中任何内容的人是数据库服务器管理员。 您希望架构免受此人的攻击吗？

• 如果我是一名客户，并且我的架构中有我的数据，我不仅希望而且期望能够直接查看和使用它。

• 您真的需要保护您的关系设计吗？ 真的有那么有趣吗？ 你发明了一些值得隐藏的东西吗？ 我真的不这么认为。 如果您有的话，我提前表示歉意。

---

编辑：附加评论：

我不关心我使用的产品的大多数数据库内部结构。 这是我认为他们中的大多数人不采取任何行动来保护自己的另一个原因。 其中大多数都没有那么有趣。

一方面，我坚信用户不需要了解或关心数据库的内部结构。 但在同一层面上，作为开发人员，我认为不值得尝试保护它们。 对用户隐藏它们，是的。 保护它们不被直接访问，在大多数情况下，不会。 并不是因为我认为保护您的架构是错误的。 因为我认为这是一件非常难做的事情，而且不值得你作为一个开发者花时间。

但最终，与任何与安全相关的主题一样，唯一正确的答案是所涉及的风险与实施安全措施的成本。

当前的嵌入式或服务器风格的数据库引擎并不是为了轻松隐藏数据库模式而设计的，因此，对于大多数人来说，这样做的开发成本远远大于所涉及的风险。

但你的情况可能有所不同。