PostgreSQL数据库安全加固(八)——用户功能与数据库管理功能分开

已于 2023-02-23 17:57:01 修改
阅读量184 收藏
点赞数
分类专栏: 数据库 PostgreSQL 文章标签: 数据库 postgresql
于 2023-02-20 13:57:25 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ma286388309/article/details/129122853
版权

文章目录

前言

信息系统管理功能包括管理数据库、网络组件、工作站或服务器所需的功能,并且通常需要特权用户访问。如果在可供用户使用的界面上显示有关PostgreSQL管理的管理功能或信息,则可能无意中向用户提供有关DBMS设置的信息。

一、检查角色权限

检查PostgreSQL设置,以验证管理功能是否与用户功能分开。
以数据库管理员(此处显示为“postgres”)身份,列出数据库的所有角色和权限:

# 切换至postgres账户
su - postgres
# 查询角色权限
psql -c "\du"

如果任何非管理角色具有"Superuser",“Create role”, "Create DB"或"Bypass RLS"权限,则存在安全风险。

二、加固建议

配置PostgreSQL以分离数据库管理和一般用户功能。不要向不需要它的用户授予超级用户,创建角色,创建数据库或绕过rls角色属性。

# 删除管理员权限示例
alter role <username> nosuperuser;

总结

PostgreSQL必须将用户功能(包括用户界面服务)与数据库管理功能分开。

小马穿云
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
PG数据库安全加固脚本
laddie_linux的博客
10-24 683
生产过程中,可能经常遇到其它非法的扫描数据库弱口令,这些不正常扫描和弱口令破解不仅可能造成数据库安全隐患,还能会占用一定的系统资源和网络带宽。 我们可以用下面的脚本对不正常的IP进行自动封禁限制。
PostgreSQL数据库安全加固(四)——数据库对象拥有者核查
ma286388309的博客
02-16 302
数据库对象(包括但不限于表,索引,存储,触发器过程,函数,外部表等)必须由授权拥有的数据库/ DBMS主体拥有。2、修改schema的所有者请执行以下命令。
PostgreSQL数据库安全加固(一)——设置密码复杂度
ma286388309的博客
02-15 4558
PostgreSQL数据库密码复杂度设置可以通过安装passwordcheck扩展插件来实现,该插件默认的密码复杂度规则是密码长度必须大于等于8、必须包含字母和非字母、密码不能包含用户名。如果这些规则仍然不能满足你的密码强度要求,那么还可以安装cracklib以及字典来提高密码强度。设置密码复杂度时注意路径和权限,根据报错排查问题。
PostgreSQL 安全加固实践: 如何设置非全零监听
pgdba的博客
11-14 205
PostgreSQL在启动前需要配置listen_addresses配置项,该配置项表示允许 PostgreSQL服务监听程序绑定的IP。我们知道一个host上可以有多个网卡,每个网卡可以绑定多个IP,该参数就是控制 PostgreSQL服务绑定在哪个或者哪几个IP上。即控制服务使用哪个网络接口进行监听连接请求。对于网络接口而言,这样可以有效阻止大量恶意重复的连接。
PostgreSql 用户及权限管理
脑子进水养啥鱼?的博客
07-17 1万+
ALTER DEFAULT PRIVILEGES 允许设置将被应用于未来要创建的对象的特权(它不会影响分配给已经存在的对象的特权)。当前,只能修改用于模式、表(包括视图和外部表)、序列、函数和类型(包括域)的特权。其中,可设置权限的函数包括聚集函数和过程函数。当这个命令应用于函数时,单词 FUNCTIONS 和 ROUTINES 是等效的。(推荐使用 ROUTINES,因为它是用来囊括函数和过程的一个标准术语。在较早的 PostgreSQL 发行版中,只允许单词 FUNCTIONS。
PostgreSQL数据库的整体安全性
03-01
在本文中,了解可以用来保护您的PostgreSQL数据库的安全措施。报纸上经常出现黑客袭击企业数据库的报道。大多数攻击由叛逆的未成年人发起的日子已经一去不复返。如今,数据收集成为了一项重要的事业,并且由在企业...
连接postgresql数据库需要的jar包
最新发布
01-15
PostgreSQL是一种开源的关系型数据库管理系统(RDBMS),以其强大的功能、稳定性以及丰富的特性而受到广泛欢迎。在Java应用中,为了与PostgreSQL数据库进行交互,我们需要下载并引入PostgreSQL JDBC驱动的JAR文件。...
数据库泄露事件解读与PostgreSQL_安全防护.pdf
08-08
01 赵振平介绍 02 数据库安全事件回顾 03 网络隔离 04 禁止远程访问 05 禁止使用Trust连接 06 传输通道加密 07 数据库加密 08 透明数据加密 09 行级别安全机制
在Bluemix上管理MySQL和PostgreSQL数据库
01-30
提供了MySQL和PostgreSQL数据库服务,用户可以直接调用数据库,带来了使用上的便利,但用户目前在 Bluemix上无法作为管理员直接管理数据库。本文主要介绍如何在Bluemix的云平台上管理您的数据库。Bluemix并没有...
PostgreSQL数据库安全加固(二)——设置密码验证失败延迟时间
ma286388309的博客
02-16 1250
PostgreSQL数据库设置密码验证失败延迟时间可以通过安装auth_delay扩展插件来实现,该设置主要是防止暴力破解,在验证失败后, 会延迟一段时间后,才能继续验证。除了需要在postgresql.conf配置文件中装载auth_delay模块,还需要增加auth_delay.milliseconds配置参数,否则该扩展模块的功能无法体现。
postgresql 用户安全配置
weixin_33759269的博客
11-09 293
一、配置说明:角色名称:user011.user01权限说明:连接test数据库,未授权时无法连接其它数据库;在指定schema,建立\查看\删除表,查看schema中对象;2.其它普通用户:无法连接test数据库及schema(sales)中对象,需要授权;二、操作步骤:instance(实例级): role(角色)$ psql postgrespostgres=# CR...
PostgreSQL security usage guide
postgrechina的博客
10-14 705
本文是PostgreSQL使用安全指导性的文章,涉及详细的用法或原理请参考相关链接。 如何安全的使用PostgreSQL,让用户高枕无忧呢? 可以分为如下几个方面来加固你的数据库 一、认证安全 认证前的安全,端口暴露度的把握。 http://blog.163.com/digoal@126/blog/static/163877040201582993130518/ 认
Postgresql数据库安全性配置-密码
weixin_34337265的博客
04-19 6583
Postgresql数据库安全性配置-密码 数据库密码管理数据库安全的重要环节之一。密码管理及配置策略主要包括: 密码加密存储 密码有效期 密码复杂度 密码验证失败延迟 密码验证失败次数限制,失败后锁定, 以及解锁时间 设置密码时防止密码被记录到数据库日志中下面会依次讲解在PostgreSQL中如何实现密码相关的安全性配置。 1、密码加密存储 pg...
PostgreSQL安全指南 - Postgres2015全国用户大会--重磅嘉宾佳作分享(周正中)
postgrechina的博客
11-11 2985
Postgres2015全国用户大会将于11月20至21日在北京丽亭华苑酒店召开。 报名链接:http://postgres2015.eventdove.com/  本期热点嘉宾:周正中(网名德哥) PostgreSQL 中国社区发起人之一,社区CTO。PostgreSQL中国社区杭州分会会长。PostgreSQL中国社区大学发起人之一。DBA+社群联合发起
数据库安全加固(通用规则)
Lee_Natuo的博客
11-12 5868
数据库安全加固(通用规则) 数据库安全威胁 业务系统 系统漏洞 DDOS 攻击 SQL注入(高发) 自定义、自封装接口漏洞 滥用合法权限或者合法权限泄漏 业务系统攻击间接传导 业务日志泄露 请求分配不均(主要影响应用性能) 数据库自身 系统漏洞 通信协议漏洞 软件漏洞导致权限提升 ...
PostgreSQL数据库安全(Security)
章郎虫的专栏
04-23 1927
查看原文:http://www.sijitao.net/1696.html 在这个章节,我们主要来了解postgresql的安全,主要讲用户权限问题。 在一般的数据库中,至少包含两种用户管理员和终端用户。这个很好理解,管理员(及超级用户)拥有完全权限,而终端用户只有部分权限。 一、取消用户对表的访问(Revoking user access to a table) 在...
PostgreSQL安全配置-如何抵卸针对PostgreSQL数据库的网络攻击
kmblack1的专栏
06-05 1099
最近网络攻击较多,很多人中招了,希望大家养成良好的习惯,避免无谓的损失. 下面谈谈如何抵卸针对PostgreSQL数据库的攻击. 1 数据库物理隔离 目前最理想的方式,可惜大多数情况下我们达不到这个要求. 将WEB服务器和数据库集群单独组网,使用一个独立的网段.在防火墙上只打开80端口(开放的端口越多越不安全),各个应用程序使用反向代理映射. WEB服务器和数据库集群在机房内,任何修改必须先在测...
PostgreSQL 用户和权限管理
热门推荐
大道至简
02-27 3万+
默认用户postgres安装完成后,会自动在操作系统和postgres数据库中分别创建一个名为postgres的用户以及一个同样名为postgres的数据库。登录 方式1:切换到postgres同名用户后登录 su username psql 方式2:指定参数登录 psql -U username -d database_name -h host 当不指定参数时psql使用操作系统当前用户用户
EnterpriseDB的SQL注入攻击保护功能
深入理解PostgreSQL
11-22 1708
3 通常维护操作 下面描述这样执行其他通用操作。 必须以超级用户连接到数据库并在查询路径中包含模式sqlprotect以执行这些操作。 3.1 给受保护角色列表增加角色,运行protect_role('rolename')函数。 edb=# SELECT protect_role('newuser'); protect_role --------------

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

小马穿云

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值