PostgreSQL数据库安全加固(六)——数据库文件的访问权必须限于授权用户

已于 2023-02-23 17:55:55 修改
阅读量290 收藏
点赞数
文章标签: 数据库 postgresql
于 2023-02-16 16:04:13 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ma286388309/article/details/129063601
版权

文章目录

前言

对数据库文件的访问必须限于相关进程和授权的管理用户。

一、检查数据库文件所有者

查看操作系统/文件系统在数据库文件,数据库日志文件和数据库备份文件上授予用户的权限。
注意:PGDATA是PostgreSQL数据库的环境变量。

# 切换至数据库用户
su - postgres
# 列出数据库目录文件信息
ls -lR ${PGDATA?}

如下图红框处,用户和组的归属应都为postgres
在这里插入图片描述

二、加固建议

注意:以下说明使用PGDATA环境变量。
配置操作系统/文件系统授予的数据库文件,数据库日志文件和数据库备份文件的权限,以便只允许相关系统帐户和需要知道的授权系统管理员和数据库管理员读取/查看这些文件。
此外,在PGDATA中创建的任何文件(例如:额外配置文件)必须由数据库管理员拥有,只有读取,写入和执行的所有者权限。

总结

包括PostgreSQL在内的应用程序必须通过共享系统资源防止未经授权和无意的信息传输。仅允许DBMS进程和授权的管理用户访问数据库所在的文件,有助于确保这些文件不会被不适当地共享,并且不会对后门访问和操作开放。

小马穿云
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
PostgreSQL数据库安全加固(五)——修改数据库结构的角色限于授权用户
ma286388309的博客
02-16 208
用于修改数据库结构(包括但不一定限于表,索引,存储等)和逻辑模块(函数,触发器过程,PostgreSQL外部软件链接等)的角色/组必须限于授权用户。如果PostgreSQL允许任何用户数据库结构或逻辑进行更改,那么这些更改可能会在没有经过适当的测试和批准的情况下实现,而这些更改是强大的更改管理过程的一部分。因此,只允许合格和授权的个人访问信息系统组件,以便启动更改,包括升级和修改。另外:您可能还需要对表限进行管理1、查看表限2、撤销对应的限。
PostgreSQL数据库安全加固(十二)——设置密码以哈希形式存储
ma286388309的博客
02-23 1420
以明文形式存储,使用可逆加密或使用未加保留的哈希的数据库密码很容易受到未经授权的泄露。数据库密码在内部或外部存储到PostgreSQL必须始终采用单向哈希的形式。如果使用密码进行身份验证,则PostgreSQL数据库必须仅存储密码的哈希形式。
PostgreSQL数据库安全加固(九)——向非特用户提供尽可能少的信息
ma286388309的博客
02-20 313
数据库可能会通过不正确处理的错误消息无意中向攻击者提供大量信息。除了敏感的业务或个人信息之外,数据库错误还可以提供主机名,IP地址,用户名以及其他系统信息,这些信息不是故障排除所必需的,但对攻击系统的人非常有用。PostgreSQL必须向非特用户提供尽可能少的信息,限制PostgreSQL数据库的日志级别,则不会泄露可被攻击者利用的信息。
PostgreSQL数据库安全加固(四)——数据库对象拥有者核查
ma286388309的博客
02-16 302
数据库对象(包括但不限于表,索引,存储,触发器过程,函数,外部表等)必须授权拥有的数据库/ DBMS主体拥有。2、修改schema的所有者请执行以下命令。
PostgreSQL数据库安全(Security)
章郎虫的专栏
04-23 1927
查看原文:http://www.sijitao.net/1696.html 在这个章节,我们主要来了解postgresql的安全,主要讲用户限问题。 在一般的数据库中,至少包含两种用户,管理员和终端用户。这个很好理解,管理员(及超级用户)拥有完全限,而终端用户只有部分限。 一、取消用户对表的访问(Revoking user access to a table) 在...
PostgreSQL数据库安全加固(十)——终止数据库空连接
ma286388309的博客
02-20 513
数据库会话可以在“重放”攻击中重用,会话ID可解决中间人攻击,包括会话劫持或将错误信息插入会话。如果攻击者无法识别或猜测与待处理的应用程序流量相关的会话信息,则他们将更难以劫持会话或以其他方式操纵有效会话。当用户注销或发生任何其他会话终止事件时,PostgreSQL必须终止用户会话以最大限度地减少会话被劫持的可能性。
kettle访问PostgreSQL数据库并处理数据至execl文件环境搭建材料
最新发布
05-11
Kettle的数据处理流程文件名为`kettle访问PostgreSQL数据库并处理数据至execl文件.ktr`,这是一个Kettle的转换文件(Transformation)。在这个转换中,我们可以预期看到以下几个步骤: 1. **数据库输入**:使用...
PostgreSQL数据库的整体安全性
03-01
在本文中,了解可以用来保护您的PostgreSQL数据库的安全措施。报纸上经常出现黑客袭击企业数据库的报道。大多数攻击由叛逆的未成年人发起的日子已经一去不复返。如今,数据收集成为了一项重要的事业,并且由在企业...
使用python将mdb数据库文件导入postgresql数据库示例
01-21
由于access数据库postgresQL数据库格式上会存在不通性,所以使用python的文件处理,将所得csv文件修改成正确、能识别的格式。 导入脚本说明(此脚本运行于linux): 1.apt-get install mdbtools,安装mdbtools工具 ...
连接postgresql数据库需要的jar包
01-15
在Java编程中,连接到PostgreSQL数据库通常需要特定的驱动程序,这个驱动程序通常是以JAR(Java Archive)文件的形式存在。"连接postgresql数据库需要的jar包"指的是用于建立Java应用程序与PostgreSQL数据库之间通信...
PostgreSQL数据库安全加固(一)——设置密码复杂度
ma286388309的博客
02-15 4559
PostgreSQL数据库密码复杂度设置可以通过安装passwordcheck扩展插件来实现,该插件默认的密码复杂度规则是密码长度必须大于等于8、必须包含字母和非字母、密码不能包含用户名。如果这些规则仍然不能满足你的密码强度要求,那么还可以安装cracklib以及字典来提高密码强度。设置密码复杂度时注意路径和限,根据报错排查问题。
PostgreSQL数据库安全加固(十一)——定义角色并发会话数
ma286388309的博客
02-23 650
数据库管理包括使用PostgreSQL控制用户数和用户会话数的能力。与PostgreSQL无限制的并发连接可以通过耗尽连接资源来成功进行拒绝服务(DoS)攻击,并且系统也可能因合法用户的过载而失败。因此,限制每个用户的并发会话数有助于降低这些风险。必须PostgreSQL中配置或添加限制每个用户的并发会话数的功能(例如,通过使用登录触发器)。请注意,仅通过Web服务器或应用程序服务器限制会话是不够的,因为合法用户和攻击者可能通过其他方式连接到PostgreSQL
postgresql授权访问
kimojinmmp的博客
04-03 3580
pyload: DROP TABLE if EXISTS wooyun; CREATE TABLE wooyun(t TEXT); COPY wooyun FROM '/etc/passwd'; SELECT * FROM wooyun limit 1 offset 0;
PostgreSQL】系列之 一 用户创建和授权(三)
热门推荐
康师傅没有眼泪
08-02 1万+
PG中,围绕角色进行限的管理。它可以被看做是一个user,或一组user。区分role、user、group。user和group是PG 8.1之前的两个实体,role是那之后唯一存在的实体,现在user和role,等价。
数据库安全加固(通用规则)
Lee_Natuo的博客
11-12 5868
数据库安全加固(通用规则) 数据库安全威胁 业务系统 系统漏洞 DDOS 攻击 SQL注入(高发) 自定义、自封装接口漏洞 滥用合法限或者合法限泄漏 业务系统攻击间接传导 业务日志泄露 请求分配不均(主要影响应用性能) 数据库自身 系统漏洞 通信协议漏洞 软件漏洞导致限提升 ...
PostgreSQL数据库安全加固(三)——设置密码更换周期
ma286388309的博客
02-16 2195
尽管PostgreSQL数据库不直接提供该密码更换周期功能,但是我们可以通过设置角色的有效期来强制指定,密码到期后, 将无法认证通过。`该项设置要求定期修改角色的有效期,如果你觉得这个过程繁琐或容易遗忘,那么也可以通过在数据库服务器上编写一个定期执行的shell脚本,将时间作为一个参数传入,定期执行alter role valid until '2023-01-01’命令即可。
postgresql创建一个只读账户指定数据库
welling_22的博客
08-25 2655
这样,只读用户将被授予连接到指定数据库以及在 "public" 模式下执行 "SELECT" 查询的限,但不会被授予对表的修改限。在这个示例中,假设您要创建一个名为 "readonly_user" 的只读账户,并且要将其限制在访问名为 "mydatabase" 的数据库。1. **登录到 PostgreSQL:** 使用具有足够限的管理员账户(通常是 "postgres" 用户)连接到 PostgreSQL 数据库。3. **授予只读限:** 授予只读用户访问数据库的只读限。
SQL限制用户只能看到指定的库或表(Navicat操作)
KingJulien2的博客
11-01 3290
SQL限制用户只能看到指定的库或表(Navicat操作)
Postgre数据库用户限总结
Aikes Blog
06-26 6561
1、故事起源 我们的项目使用了PG数据库,在项目开发阶段,为了省事偷懒,直接将应用连接数据库用户给了supperuser限,用起来简直不要太爽。随着开发进度接近中后期,开始筹建用户验收环境,在该环境我依旧直接给了超级用户限,谁曾想就在前几天甲方爸爸哗啦啦的给了一堆漏洞清单,让我们抓紧整改。一头雾水的我不得不重操旧业,开始四处学习PG的用户限相关知识。 2、 干货记录 2.1 、创建用户 CREATE USER/ROLE name [ [ WITH ] option [ ... ] ] : 关键词
阿里云 专有云企业版 V3.8.1 分析型数据库PostgreSQL用户指南 20190910
04-06
"阿里云 专有云企业版 V3.8.1 分析型数据库PostgreSQL用户指南 20190910" 阿里云的专有云企业版是为企业级客户量身定制的云计算解决方案,它提供了高度可定制、安全可控的云环境。在V3.8.1版本中,特别引入了...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

小马穿云

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值