PostgreSQL数据库安全(Security)
在这个章节,我们主要来了解postgresql的安全,主要讲用户权限问题。
在一般的数据库中,至少包含两种用户,管理员和终端用户。这个很好理解,管理员(及超级用户)拥有完全权限,而终端用户只有部分权限。
一、取消用户对表的访问(Revoking user access to a table)
在运行这个命令时,首先需要确保当前用户是管理员,或者是表的所有人,或者必须有grant的权限。
例如:
REVOKE ALL ON mysecrettable FROM userwhoshoudnotseeit;
这个命令取消userwhoshoudnotseeit对mysecrettable 表的所有权限。
不过因为一般表对public组有访问权限,所以要完全拒绝还需要运行下面这个sql。
REVOKE ALL ON mysecrettable FROM PUBLIC;
当然,如果在生产环境中,最好是在建立表的时候就对权限进行一下设定,保证只有指定用户才可以访问。
例如:
CREATE TABLE table1( ... ); REVOKE ALL ON table1 FROM GROUP PUBLIC; GRANT SELECT ON table1 TO GROUP webreaders; GRANT SELECT, INSERT, UPDATE, DELETE ON table1 TO editors; GRANT ALL ON table1 TO admins;
二、授予用户对表的访问(Granting user access to a table)
例如:
CREATE GROUP webreaders; GRANT SELECT ON pages TO webreaders; GRANT INSERT ON viewlog TO webreaders; GRANT webreaders TO tim, bob;
首先创建webreaders组,然后授予该组对pages的select权限,对viewlog的insert权限,最后把tim,bob加入到webreaders组后,tim和bob就都拥有pages的select权限和viewlog的insert权限。
修改webreaders组对组内成员的权限设定都有效。
GRANT INSERT, UPDATE, DELETE ON comments TO webreaders;
授予用户对SCHEMA 的权限
GRANT SELECT ON ALL TABLES IN SCHEMA staging TO bob;
三、创建新用户(Creating a new user)
对于postgresql来说,创建新用户可以有两种方法,分别是命令行和sql。
命令行:
pguser@hvost:~$ createuser bob Shall the new role be a superuser? (y/n) n Shall the new role be allowed to create databases? (y/n) y Shall the new role be allowed to create more new roles? (y/n) n pguser@hvost:~$ createuser tim Shall the new role be a superuser? (y/n) y
SQL:
CREATE ROLE bob WITH NOSUPERUSER INHERIT NOCREATEROLE CREATEDB LOGIN; CREATE ROLE tim WITH SUPERUSER;
查看创建的用户
pguser=# \du tim
List of roles
Role name | Attributes | Member of
-----------+-------------+-----------
tim | Superuser | {}
: Create role
: Create DB
pguser=# \du bob
List of roles
Role name | Attributes | Member of
-----------+------------ +-----------
bob | Create DB | {}
四、暂时防止用户的连接(Temporarily preventing a user from connecting)
有时候我们只是暂时不想让用户连接数据库,这里也有两种方法。
1、
设定bob不能登陆
pguser=# alter user bob nologin;
恢复bob登陆功能
pguser=# alter user bob login;
2、
设定bob的连接数为0
pguser=# alter user bob connection limit 0;
设定bob的连接数不限制
pguser=# alter user bob connection limit -1;
因为设置对已登录用户不影响,所以可以用下面这个命令强制没权限用户下线。
SELECT pg_terminate_backend(procpid)
FROM from pg_stat_activity a
JOIN pg_roles r ON a.usename = r.rolname AND not rolcanlogin;
五、删除用户但不删除他的数据(Removing a user without dropping their data)
如果用户拥有一些表,那么在删除的时候会提示如下错误,删除失败。
testdb=# drop user bob;
ERROR: role "bob" cannot be dropped because some objects depend on it
DETAIL: owner of table bobstable
owner of sequence bobstable_id_seq
最简单的方法是上面四中介绍的,前置用户的登陆权限。
pguser=# alter user bob nologin;
或者可以对需要删除的用户重命名。
pguser=# grant bob bobs_replacement;
如果必须要删除用户,那么可以先把对用用户的数据改成其他人,再删除。这个功能在8.2之后才加入。
REASSIGN OWNED BY bob TO bobs_replacement;
如果以上办法都不可行,那么最后可以用linux命令修改。
postgres@vm-199:~$ pg_dump -s test | grep -i "alter.*owner to znq" ALTER FUNCTION public.check_website_regexp(ifid integer) OWNER TO znq; ALTER TABLE public.public_opinion_info OWNER TO znq; ALTER TABLE public.temp OWNER TO znq; ALTER TABLE public.temp_aid_seq OWNER TO znq; postgres@vm-199:~$ pg_dump -s test | grep -i "alter.*owner to znq" >tmp.sql postgres@vm-199:~$ sed -e 's/TO znq/TO zhangnq/' < tmp.sql | psql mydb
六、检查所有用户是否拥有一个安全密码(Checking all users have a secure password)
因为PostgreSQL内部没有检查密码的工具,所以我们可以做的是把密码进行md5加密,然后在pg_hba.conf中设定拒绝简单密码登陆。
查看没有对密码进行加密的用户
select usename,passwd from pg_shadow where passwd not like 'md5%' or length(passwd) <> 35;
查看对密码加密过的用户
select usename,passwd from pg_shadow where passwd like 'md5%' and length(passwd) = 35;
不过这个对安全密码来说只完成一半,还需要确认用户是否使用了容易猜的密码,比如"password', 'secret', or 'test' 。这个具体可以看这里:http://www.postgresql.org/docs/devel/static/passwordcheck.html 。
七、对特定用户授予有限的管理权限(Giving limited superuser powers to specific users)
ALTER ROLE BOB WITH CREATEDB;
ALTER ROLE BOB WITH CREATEUSER;
以上命令可以给指定用户赋予权限,但是都只是一些保留的功能。如果需要其他权限,这里可以考虑用封装函数。
例如:
pguser@hvost:~$ psql -U postgres test2 ... test2=# create table lines(line text); CREATE TABLE test2=# copy lines from '/home/bob/names.txt';Chapter 6 137 COPY 37 test2=# SET SESSION AUTHORIZATION bob; SET test2=> copy lines from '/home/bob/names.txt'; ERROR: must be superuser to COPY to or from a file HINT: Anyone can COPY to stdout or from stdin. psql's \copy command also works for anyone.
这里可以看到bob没有copy权限,那么应该如何授予?
1、创建函数copy_from:
create or replace function copy_from(tablename text, filepath text) returns void security definer as $$ declare begin execute 'copy ' || tablename || ' from ''' || filepath || ''''; end; $$ language plpgsql;
2、把函数copy_from授权给bob:
revoke all on function copy_from( text, text) from public; grant execute on function copy_from( text, text) to bob;
八、审查数据定义语言(DDL)的修改
首先修改postgresql.conf文件,添加或者修改log_statement = 'ddl' ,重新加载/etc/init-d/postgresql reload 。
查看日志中的修改记录:
postgres@hvost:~$ egrep -i "create|alter|drop" \ /data/pgsql93/pg_log/postgresql-2014-04-23_000000.log
查看谁对数据库进行了修改,需要在postgresql.conf文件中添加log_line_prefix参数%u,推荐参数包括 '%t %u %d',分别包括timestamp, database user和database name。
九、审查数据变化(Auditing data changes)
这个主要也有两种办法。第一种是通过修改postgresql.conf文件,通过log记录操作在服务器中;第二种是通过创建触发器triggers 实现。
1、设置log_statement = 'mod' 或者 'all',收集所有INSERT, UPDATE, DELETE和TRUNCATE操作记录。
2、举例说明:
CREATE TABLE emp ( empname text NOT NULL, salary integer ); CREATE TABLE emp_audit( operation text NOT NULL, stamp timestamp NOT NULL, userid text NOT NULL, empname text NOT NULL, salary integer ); CREATE OR REPLACE FUNCTION process_emp_audit() RETURNS TRIGGER AS $emp_audit$ BEGIN IF (TG_OP = 'DELETE') THEN INSERT INTO emp_audit SELECT 'DEL', now(), user, OLD.*; ELSIF (TG_OP = 'UPDATE') THENSecurity -- save old and new values INSERT INTO emp_audit SELECT 'OLD', now(), user, OLD.*; INSERT INTO emp_audit SELECT 'NEW', now(), user, NEW.*; ELSIF (TG_OP = 'INSERT') THEN INSERT INTO emp_audit SELECT 'INS', now(), user, NEW.*; ELSEIF (TG_OP = 'TRUNCATE') THEN INSERT INTO emp_audit SELECT 'TRUNCATE', now(), user, '-', -1; END IF; RETURN NULL; -- result is ignored bacause this is an AFTER trigger END; $emp_audit$ LANGUAGE plpgsql; CREATE TRIGGER emp_audit AFTER INSERT OR UPDATE OR DELETE ON emp FOR EACH ROW EXECUTE PROCEDURE process_emp_audit(); CREATE TRIGGER emp_audit_truncate AFTER TRUNCATE ON emp FOR EACH STATEMENT EXECUTE PROCEDURE process_emp_audit();
十、结合LDAP(Integrating with LDAP)
具体参考教程,这里博主没测试过。
十一、使用SSL连接(Connecting using SSL)
使用ssl会影响数据传输速度,如果确定网络安全,可以不需要使用ssl 。
修改postgresql.conf,把ssl设置成on 。
pg_hba.conf设置:
host all all 192.168.54.1/32 md5
hostssl all all 0.0.0.0/0 md5
这个意思是192.168.1.0/24不使用ssl,其他ip连接都使用ssl 。
十二、对敏感数据进行加密(Encrypting sensitive data)
pgcrypto的使用,具体可以参考下面几个网址:
http://www.postgresql.org/docs/9.0/static/pgcrypto.html
http://www.openssl.org/
http://www.gnupg.org/gph/en/manual.html
相关内容
探索postgresql数据库(一):https://zhangnq.com/1428.html
探索postgresql数据库(二):https://zhangnq.com/1438.html
Postgresql 数据库控制解析(一):https://zhangnq.com/1454.html
Postgresql 数据库控制解析(二):https://zhangnq.com/1501.html
PostgreSQL数据库中的表和数据(Tables & Data):https://zhangnq.com/1576.html