И вот если к этой отресторенной базе коннектится непривилегированный юзер, то на запрос select * from mon$attachments получает все имееющиеся коннекты.

SELECT RDB$SYSTEM_PRIVILEGE(MONITOR_ANY_ATTACHMENT) FROM RDB$DATABASE;

Значит он привилегированный.

Выполни для проверки

SELECT RDB$SYSTEM_PRIVILEGE(MONITOR_ANY_ATTACHMENT) FROM RDB$DATABASE;

RDB$SYSTEM_PRIVILEGE
====================
<true>

Теперь

SELECT * FROM RDB$ROLES WHERE RDB$ROLE_IN_USE(RDB$ROLE_NAME);

RDB$ROLE_NAME     RDB$OWNER_NAME       RDB$DESCRIPTION RDB$SYSTEM_FLAG RDB$SECURITY_CLASS   RDB$SYSTEM_PRIVILEGES
================= ================== ================= =============== ==================== =====================
ADM               SYSDBA                        <null>               0 SQL$1312             FEFFFFFFFFFFFFFF

RDB$ROLE_NAME    RDB$OWNER_NAME        RDB$DESCRIPTION RDB$SYSTEM_FLAG RDB$SECURITY_CLASS   RDB$SYSTEM_PRIVILEGES
================ =================== ================= =============== ==================== =====================
ADM              SYSDBA                         <null>               0 SQL$1444             0000000000000000

fb4.0.2:

RDB$ROLE_NAME     RDB$OWNER_NAME       RDB$DESCRIPTION RDB$SYSTEM_FLAG RDB$SECURITY_CLASS   RDB$SYSTEM_PRIVILEGES
================= ================== ================= =============== ==================== =====================
ADM               SYSDBA                        <null>               0 SQL$1312             FEFFFFFFFFFFFFFF

fb5.0.1:

RDB$ROLE_NAME    RDB$OWNER_NAME        RDB$DESCRIPTION RDB$SYSTEM_FLAG RDB$SECURITY_CLASS   RDB$SYSTEM_PRIVILEGES
================ =================== ================= =============== ==================== =====================
ADM              SYSDBA                         <null>               0 SQL$1444             0000000000000000

https://github.com/FirebirdSQL/firebird/issues/7610

create or alter procedure ATTACHMENTS
returns (
    MY smallint,
    MON$USER type of SEC$USER_NAME,
    MON$TIMESTAMP type of MON$STATEMENT_TIMER)
sql security definer
as
begin
  for select iif(mon$attachment_id=current_connection,1,0), mon$user,
    mon$timestamp
    from mon$attachments
    where mon$remote_process is not null
    order by mon$timestamp
    into :my, :mon$user, :mon$timestamp
  do suspend;
end

Пока экспериментировал с mon$attachments создал процедуру:

create or alter procedure ATTACHMENTS
returns (
    MY smallint,
    MON$USER type of SEC$USER_NAME,
    MON$TIMESTAMP type of MON$STATEMENT_TIMER)
sql security definer
as
begin
  for select iif(mon$attachment_id=current_connection,1,0), mon$user,
    mon$timestamp
    from mon$attachments
    where mon$remote_process is not null
    order by mon$timestamp
    into :my, :mon$user, :mon$timestamp
  do suspend;
end

пользователем с ролью rdb$admin, не SYSDBA. Дал права на нее обычным юзерам. Так вот когда селектят из нее, получают только коннекты этого пользователя, создавшего процедуру. Если такую-же процедуру создает SYSDBA, то все ок. Всем видно все коннекты.
Это нормально?

Экспериментировал на сервере Firebird-5.0.1.1469
Правда IBExpert, в котором это проделывал с fbclient.dll 3.0.11.33703

Дополню, что сам пользователь, создавший процедуру, видит все коннекты к базе и с select * from mon$attachments, и с select * from attachments

Я не нашёл в стандарте должны ли учитываться роли DEFINER'а при проверке прав.
В коде я вижу использование только имени DEFINER'а, возможно будет учитываться его DEFAULT роль, если она есть.
Не проверял. И я с этим кодо мало знаком.

stelvic

Дополню, что сам пользователь, создавший процедуру, видит все коннекты к базе и с select * from mon$attachments, и с select * from attachments

Это в коннекте с явно указанной ролью RDB$AMIN ?
А если роль не указана ?

stelvic

Дополню, что сам пользователь, создавший процедуру, видит все коннекты к базе и с select * from mon$attachments, и с select * from attachments

Это в коннекте с явно указанной ролью RDB$AMIN ?
А если роль не указана ?