PostgreSQL 的审计和权限控制系统

最新推荐文章于 2023-04-13 10:44:30 发布
VIP文章 最新推荐文章于 2023-04-13 10:44:30 发布
阅读量664 收藏 1
点赞数 1
分类专栏: GrowingIO技术专栏 文章标签: postgresql
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/growingio_/article/details/117754526
版权

背景介绍

GrowingIO 作为一家大数据公司,核心资产虽然在大数据平台上,但关系型数据库仍扮演着不可或缺的角色。它担负着存储产品逻辑,配置信息等重要数据信息。
GrowingIO 目前的数据库实例较多,例如按环境区分为开发环境,测试环境,生产环境等不同环境。按需求来说,又存在运维人员需要直接修改线上脏数据,开发人员本地访问开发环境的实例进行联调等情况。
而随着公司员工不断发展,人员的流动性会加剧,数据库权限控制会越来越复杂。
这时一个易用的数据库管理工具会减少相当大的工作量。
由于 GrowingIO 选用 PostgreSQL 作为关系型数据库,所以以下内容以 PostgreSQL 作为基础展开。

目前状况

之前 GrowingIO 是使用基于 SSH + Iptables + PostgreSQL 日志的组合架构来实现的 PostgreSQL 的管理。
这种架构只是满足了权限控制和审计的基本需求,但是实际使用中有些问题是很难解决,例如:

  • 由于权限控制和日志审计属于独立的系统,造成审计的溯源比较麻烦。

  • 权限控制比较粗粒度,只能控制能不能访问,无法做更细粒度的权限划分。

  • 无法做到 SQL 级别的限制。

  • 没有接到统一账号管理系统,账号管理繁琐。

由于以上种种原因,所以决定将该架构进行一次重构。

基于 PostgreSQL 审计和权限控制系统

前期准备

功能需求

  • 不对 PostgreSQL 数据库做变更或者侵入较小。
  • 支持 RBAC 权限控制。
  • 使用 LDAP 作为 RBAC中的角色和用户认证系统。
  • 有审计功能。
  • 有 SQL 过滤的功能。 易于使用和管理。

工具调研

由于目前市面上主要数据库使用 MySQL 居多,而 PostgreSQL 使用的较少,扩展工具方面的资料相对较少。
目前找到的可行的方案是 PostgreSQL 本身的 LDAP 功能 + pgAudit 组合来达到权限和审计功能。
该方案可实现的功能包括:

  • 基于 LDAP 的用户和角色认证。
  • 基于 pgAudit 的日志审计功能。

该方案存在的问题:

  • 需要操作 PostgreSQL 本身,对 PostgreSQL 本身有一定的侵入性。
  • 各个 PostgreSQL
  • 实例的管理还是割裂的状态。 后期功能扩展性不强。

由于该方案每个 PostgreSQL 实例的管理还是割裂的状态,当实例过多时仍会带来管理的复杂,对于不支持公网的实例仍需在 PostgreSQL 实例前端搭建一个 Pro

最低0.47元/天 解锁文章
GrowingIO_
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
postgrest和postgresql权限认证,jwt插件
04-15
这是postgresql使用权限控制的插件,若是没有这个插件就无法正常工作。
PostgreSQL 之 日志审计pg_log)
热门推荐
HighGO
03-27 1万+
审计是指记录用户的登陆退出以及登陆后在数据库里的行为操作。Postgres 的日志(pg_log)功能十分丰富,接下来首先会介绍它的标准日志审计功能设置highgo=# show logging_collector; --是否开启日志收集,默认offlogging_collector -------------------on(1 row)highgo=# show log_destin...
pgsql开启数据库审计
qq_44605317的博客
12-20 2959
pgsql开启数据库审计
PostgreSQL审计日志
一天不看代码浑身难受
04-13 4058
log_disconnections:记录每个断开与数据库的客户端的信息。这将使用 CSV 格式记录审计日志,并在每行日志信息前添加时间戳、用户 ID、数据库名称和进程 ID。其中,逗号分隔的字段依次为时间戳、用户名、数据库名、进程 ID、主机名、会话 ID、命令标识符、日志级别和日志消息。在 PostgreSQL 中,还有许多其他的选项可供配置,以记录更详细的审计日志信息。log_line_prefix:设置每行日志信息的前缀,可以包括时间戳、用户名、数据库名等信息。
Postgresql审计插件pgaudit使用说明
魂醉的一亩二分地
03-28 2653
最近由于审计,rds的审计成了问题,因为很多权限没开放出来,但是很多云厂商提供了pgaudit插件,这里简单介绍下吧,虽然没有达到想要的预期。 pgaudit和postgresql版本兼容性匹配列表: pgAudit v1.6.X is intended to support PostgreSQL 14. pgAudit v1.5.X is intended to support PostgreSQL 13. pgAudit v1.4.X is intended to support PostgreSQL
Postgresql审计pgaudit安装使用
高矮
09-30 1191
Postgresql:10 pgaudit:v1.2 文章目录编译安装参数配置说明pgaudit.log:pgaudit.log_client:pgaudit.log_level:pgaudit.log_parameter:pgaudit.role:参考 编译安装 1、clone插件 git clone https://github.com/pgaudit/pgaudit.git 2、Change to pgAudit directory: cd pgaudit 3、Checkout postgre.
PostgreSQL11开启审计日志
kadwf123的专栏
09-05 5336
目录 1、说明. 1 2、开启的参数. 1 3、修改配置文件. 1 4、使数据库重新加载配置文件. 2 4.1、用超级用户运行. 2 4.2、用UNIX的kill手动发起HUP信号. 2 4.3、使用pg_ctl命令触发SIGHUP信号. 2 5、检查配置文件是否重新加载. 2 6、会话中临时改参数. 4 7、查看审计日志. 4 1、说明 pg自带审计日志功能,需要按...
PostgreSQL实现一个通用标签系统
09-09
主要给大家介绍了关于利用PostgreSQL实现一个通用标签系统的相关资料,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
linux操作系统下离线安装postgresql数据库
10-17
附件资源中包含Ubuntu和统信UOS操作系统离线安装postgresql的方法,一些资源包我没有上传,postgresql离线安装包在官网上下载。
pgCluu:PostgreSQL 性能监控和审计-开源
06-02
pgCluu 是一个 Perl 程序,用于对 PostgreSQL 集群性能进行全面审计。 它分为两部分,一个用于使用 psql 和 sar 获取 PostgreSQL 集群统计信息的收集器,一个将生成所有 HTML 和图表输出的绘图器。
Postgres_2017象行中国杭州第一期_金华峰_SQL安全审计PostgreSQLhook实践 姚珂男_Greenplum资源管理器
03-25
Postgres_2017象行中国杭州第一期_金华峰_SQL安全审计PostgreSQLhook实践.pdf Postgres_2017象行中国杭州第一期_姚珂男_Greenplum资源管理器.pdf
cpp-pgAudit开源PostgreSQL审核记录
08-16
PostgreSQL审核扩展(pgAudit)通过标准PostgreSQL日志记录工具提供详细的会话和/或对象审核日志。
centos操作系统安装postgresql+postgis部署配置
最新发布
03-03
基于pg库进行地理空间数据存储的开源数据库技术方案,只有正确安装改库才能继续后续空间数据正常管理、空间数据很好的分析,从而实现系统中正常运行,postgresql与postgis对应版本问题或升级也可参考类似方法进行...
postgresql审计
归来仍少年
09-28 1444
#审计AUDIT internal: 编译期间的设置,只有重新编译才能生效。 postmaster: 只有服务重启才能生效。 sighup: 给服务器发送HUP信号会是服务器重新加载postgresql.conf配置,可以立即生效。 backend: 与sighup类似,但是不影响正在运行的会话,只在新会话中生效 superuser: 使用superuser(如postgres)才能更改,不用重新加载所有配置即可生效。 user: 单个会话用户可以在任意时间做修改,只会影响该会话。 设置日志记录内容log_
pgaudit 审计postgresql
一名数据库爱好者的专栏
12-19 5078
os: ubuntu 16.04 db: postgresql 9.6.8 pgaudit: 1.1.1 pgaudit 是作为 postgresql 的一个 extension 形式存在的,通过标准postgresql日志工具提供详细的会话和/或对象审计日志记录。 pgaudit 的目标是为postgresql生成审计日志。 版本 # lsb_release -a No LSB modules ...
PostgreSQL 开启“审计日志、时间记录”带来的性能影响有多少?
weixin_34217711的博客
09-15 619
标签 PostgreSQL , 审计日志 , duration , 性能影响 , syslogger , BUFFER , log_statement , log_duration , track_io_timing , osq_lock 背景 开启审计日志,或者开启数据库的SQL耗时记录,会给数据库带来多大的性能开销? 1、审计日志通过log_st...
postgresql 数据库 等保审计 遇到的问题与办法 (整理)
yang_z_1的博客
10-13 2621
postgresql 数据库 等保审计 遇到的问题与办法 (整理) 文章目录postgresql 数据库 等保审计 遇到的问题与办法 (整理)1. 数据库未启用鉴别信息检查2. 数据库未配置密码使用期限3.数据库未实现登录超时自动退出idle_in_transaction_session_timeoutconnect_timeout4.数据库安全审计功能不完善1.建议开启log_connections、log_disconnections 实现对用户登入、登出的记录2.建议messages至少为info级别
PostgreSQL 审计怎么搞
sql server的专栏
01-06 3046
PostgreSQL审计还是要借助PostgreSQL的扩展pgaudit 来进行。有些熟悉PG的同学可能说,不是可以log_statement = all 来记录所有的语句吗,干嘛...
PostgreSQL日志配置记录
dimawei2225的博客
05-25 758
日志审计 审计是值记录用户的登陆退出以及登陆后在数据库里的行为操作,可以根据安全等级不一样设置不一样级别的审计, 此处涉及的参数文件有: logging_collector --是否开启日志收集开关,默认off,开启要重启DB log_destination --日志记录类型,默认是stderr,只记录错误输出 log_directory -...
postgresql权限
04-01
PostgreSQL中的权限控制是一种安全机制,允许管理员控制用户对数据库和表的访问权限。以下是一些PostgreSQL权限的列表: 1. CONNECT权限:允许用户连接到数据库服务器,但不允许对任何对象进行操作。 2. CREATE权限:允许用户创建新的表、索引或其他对象。 3. SELECT权限:允许用户查询表中的数据。 4. INSERT权限:允许用户将新的数据插入到表中。 5. UPDATE权限:允许用户更新表中的数据。 6. DELETE权限:允许用户删除表中的数据。 7. EXECUTE权限:允许用户执行存储过程或函数。 8. USAGE权限:允许用户使用一个对象,例如序列或视图,但不允许对其进行修改。 9. GRANT权限:允许用户授予其他用户访问权限。 10. SUPERUSER权限:允许用户执行所有操作,包括管理其他用户和更改数据库设置。 管理员可以使用GRANT和REVOKE命令为用户授予或撤销上述权限。例如,使用GRANT SELECT ON table_name TO user_name命令,可以为用户授予对特定表的SELECT权限

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值