PostgreSQL数据库安全加固(九)——向非特权用户提供尽可能少的信息

已于 2023-02-23 17:55:18 修改
阅读量313 收藏
点赞数
分类专栏: 数据库 PostgreSQL 文章标签: postgresql 数据库
于 2023-02-20 14:18:26 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ma286388309/article/details/129123276
版权

文章目录

前言

数据库可能会通过不正确处理的错误消息无意中向攻击者提供大量信息。除了敏感的业务或个人信息之外,数据库错误还可以提供主机名,IP地址,用户名以及其他系统信息,这些信息不是故障排除所必需的,但对攻击系统的人非常有用。

一、检查配置

以数据库管理员身份,运行以下SQL:

SELECT current_setting('client_min_messages');

例如查询结果如下图。
在这里插入图片描述
如果client_min_messages未设置为error,则存在安全风险。

二、加固建议

注意:以下说明使用PGDATA环境变量。
以数据库管理员身份,编辑“postgresql.conf”:

# 切换postgres用户
su - postgres
# 编辑postgresql.conf配置文件
vi $ PGDATA/postgresql.conf

将client_min_messages参数更改为“error”。

总结

PostgreSQL必须向非特权用户提供尽可能少的信息,限制PostgreSQL数据库的日志级别,则不会泄露可被攻击者利用的信息。

小马穿云
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
PostgreSQL数据库安全加固(五)——修改数据库结构的角色限于授权用户
ma286388309的博客
02-16 208
用于修改数据库结构(包括但不一定限于表,索引,存储等)和逻辑模块(函数,触发器过程,PostgreSQL外部软件链接等)的角色/组必须限于授权用户。如果PostgreSQL允许任何用户数据库结构或逻辑进行更改,那么这些更改可能会在没有经过适当的测试和批准的情况下实现,而这些更改是强大的更改管理过程的一部分。因此,只允许合格和授权的个人访问信息系统组件,以便启动更改,包括升级和修改。另外:您可能还需要对表权限进行管理1、查看表权限2、撤销对应的权限。
PostgreSQL数据库安全加固(十)——终止数据库空连接
ma286388309的博客
02-20 513
数据库会话可以在“重放”攻击中重用,会话ID可解决中间人攻击,包括会话劫持或将错误信息插入会话。如果攻击者无法识别或猜测与待处理的应用程序流量相关的会话信息,则他们将更难以劫持会话或以其他方式操纵有效会话。当用户注销或发生任何其他会话终止事件时,PostgreSQL必须终止用户会话以最大限度地减少会话被劫持的可能性。
PostgreSQL数据库安全加固(六)——数据库文件的访问权必须限于授权用户
ma286388309的博客
02-16 290
数据库文件的访问必须限于相关进程和授权的管理用户。包括PostgreSQL在内的应用程序必须通过共享系统资源防止未经授权和无意的信息传输。仅允许DBMS进程和授权的管理用户访问数据库所在的文件,有助于确保这些文件不会被不适当地共享,并且不会对后门访问和操作开放。
PostgreSQL数据库安全加固(十一)——定义角色并发会话数
ma286388309的博客
02-23 650
数据库管理包括使用PostgreSQL控制用户数和用户会话数的能力。与PostgreSQL无限制的并发连接可以通过耗尽连接资源来成功进行拒绝服务(DoS)攻击,并且系统也可能因合法用户的过载而失败。因此,限制每个用户的并发会话数有助于降低这些风险。必须在PostgreSQL中配置或添加限制每个用户的并发会话数的功能(例如,通过使用登录触发器)。请注意,仅通过Web服务器或应用程序服务器限制会话是不够的,因为合法用户和攻击者可能通过其他方式连接到PostgreSQL
PostgreSQL数据库安全加固(四)——数据库对象拥有者核查
ma286388309的博客
02-16 302
数据库对象(包括但不限于表,索引,存储,触发器过程,函数,外部表等)必须由授权拥有的数据库/ DBMS主体拥有。2、修改schema的所有者请执行以下命令。
PostgreSQL数据库的整体安全性
03-01
在本文中,了解可以用来保护您的PostgreSQL数据库的安全措施。报纸上经常出现黑客袭击企业数据库的报道。大多数攻击由叛逆的未成年人发起的日子已经一去不复返。如今,数据收集成为了一项重要的事业,并且由在企业...
连接postgresql数据库需要的jar包
最新发布
01-15
在Java编程中,连接到PostgreSQL数据库通常需要特定的驱动程序,这个驱动程序通常是以JAR(Java ...同时,为了保证数据安全,应尽量避免在代码中硬编码数据库连接信息,而是通过环境变量或配置文件来传递这些敏感信息
postgresql数据库定时备份脚本(linux)
07-14
在Linux环境中,对PostgreSQL数据库进行定时备份是确保数据安全的重要步骤。PostgreSQL是一个功能强大的开源关系型数据库系统,广泛应用于各种规模的企业和项目。定时备份可以帮助我们在系统故障、误操作或其他不可...
PostgreSQL数据库
11-20
**PostgreSQL数据库详解** PostgreSQL,通常简称为Postgres,是一种功能强大的开源关系型数据库管理系统(RDBMS),在全球范围内广泛应用于各种规模的企业和组织。它以其高度的稳定性、安全性以及对复杂SQL查询的...
PostgreSQL数据库安全加固(一)——设置密码复杂度
ma286388309的博客
02-15 4559
PostgreSQL数据库密码复杂度设置可以通过安装passwordcheck扩展插件来实现,该插件默认的密码复杂度规则是密码长度必须大于等于8、必须包含字母和字母、密码不能包含用户名。如果这些规则仍然不能满足你的密码强度要求,那么还可以安装cracklib以及字典来提高密码强度。设置密码复杂度时注意路径和权限,根据报错排查问题。
PostgreSQL 最佳安全配置.pdf
04-07
2020年PostgreSQL数据库最佳安全配置指导文档,通过配置安全选项,实现数据库的存储、传输和使用安全。
PostgreSQL security usage guide
postgrechina的博客
10-14 705
本文是PostgreSQL使用安全指导性的文章,涉及详细的用法或原理请参考相关链接。 如何安全的使用PostgreSQL,让用户高枕无忧呢? 可以分为如下几个方面来加固你的数据库 一、认证安全 认证前的安全,端口暴露度的把握。 http://blog.163.com/digoal@126/blog/static/163877040201582993130518/ 认
PostgreSQL数据库安全加固(三)——设置密码更换周期
ma286388309的博客
02-16 2195
尽管PostgreSQL数据库不直接提供该密码更换周期功能,但是我们可以通过设置角色的有效期来强制指定,密码到期后, 将无法认证通过。`该项设置要求定期修改角色的有效期,如果你觉得这个过程繁琐或容易遗忘,那么也可以通过在数据库服务器上编写一个定期执行的shell脚本,将时间作为一个参数传入,定期执行alter role valid until '2023-01-01’命令即可。
PostgreSQL数据库安全加固(二)——设置密码验证失败延迟时间
ma286388309的博客
02-16 1250
PostgreSQL数据库设置密码验证失败延迟时间可以通过安装auth_delay扩展插件来实现,该设置主要是防止暴力破解,在验证失败后, 会延迟一段时间后,才能继续验证。除了需要在postgresql.conf配置文件中装载auth_delay模块,还需要增加auth_delay.milliseconds配置参数,否则该扩展模块的功能无法体现。
数据库安全加固(通用规则)
Lee_Natuo的博客
11-12 5868
数据库安全加固(通用规则) 数据库安全威胁 业务系统 系统漏洞 DDOS 攻击 SQL注入(高发) 自定义、自封装接口漏洞 滥用合法权限或者合法权限泄漏 业务系统攻击间接传导 业务日志泄露 请求分配不均(主要影响应用性能) 数据库自身 系统漏洞 通信协议漏洞 软件漏洞导致权限提升 ...
PG数据库安全加固脚本
laddie_linux的博客
10-24 683
生产过程中,可能经常遇到其它法的扫描数据库弱口令,这些不正常扫描和弱口令破解不仅可能造成数据库安全隐患,还能会占用一定的系统资源和网络带宽。 我们可以用下面的脚本对不正常的IP进行自动封禁限制。
不允许一个用户使用一个以上用户与服务器_如何在Ubuntu 18.04上使用PostgreSQL 10配置逻辑复制...
weixin_39636608的博客
12-03 122
阅读本文大约需要35分钟,并且要具备PostgreSQL等基础知识。前言在为生产环境设置应用程序时,在适当的位置放置多个数据库副本通常很有用。保持数据库副本同步的过程称为复制。复制可以为同时进行的大量读操作提供高可用性水平扩展,并减少读延迟。它还允许在地理分布的数据库服务器之间进行对等复制。是一个开源的对象 - 关系数据库系统,具有高度可扩展性,符合ACID(原子性,一致性,隔离性,耐久性)和SQ...
postgres - 以单用户模式运行一个 PostgreSQL服务器
weixin_30739595的博客
06-27 288
SYNOPSIS postgres [ -A 0 | 1] [ -B nbuffers] [ -c name=value] [ -d debug-level] [ --describe-config ] [ -D datadir] [ -e ] [ -E ] [ -f s | i | t | n | m | h] [ -F ] [ -N ] [ -o filename] [ -O ] [ -P ...
PostgreSQL的配置文件及用户权限
ccsky001的天空
08-13 1006
PostgreSQL的配置文件及用户权限PostgreSQL的配置文件及用户权限作者:小P来自:LinuxSir.Org摘要:为了能够远程修改和维护PostgreSQL数据库,我们会涉及到配置文件和用户权限的问题,本文主要介绍了如何配置PostgreSQL的主要配置文件,修改用户权限,使我们能够远程打开数据库;目录 1.1 postgresql.conf
阿里云 专有云企业版 V3.8.1 分析型数据库PostgreSQL用户指南 20190910
04-06
"阿里云 专有云企业版 V3.8.1 分析型数据库PostgreSQL用户指南 20190910" 阿里云的专有云企业版是为企业级客户量身定制的云计算解决方案,它提供了高度可定制、安全可控的云环境。在V3.8.1版本中,特别引入了...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

小马穿云

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值