PostgreSQL数据库创建只读用户的权限安全隐患

已于 2024-05-05 14:52:07 修改
阅读量528 收藏 9
点赞数 3
文章标签: 数据库 postgresql oracle
于 2024-05-05 14:51:08 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/suoyue_py/article/details/138466634
版权

PostgreSQL数据库模拟备库创建只读用户存在的权限安全隐患

看腻了就来听听视频演示吧:https://www.bilibili.com/video/BV1ZJ4m1578H/

default_transaction_read_only

创建只读用户,参照备库只读模式。有个简单的方式就是直接set参数:default_transaction_read_only,但这里有个安全隐患问题:在开启事务的场景下可以调整事务的读写权限。

  1. 硬锁定,直接将数据库切换到恢复模式(备库),绝对不会有写操作出现。
  2. 软锁定,设置default_transaction_read_only为on,默认开启的事务为只读事务。用户如果使用begin transaction read write可破解。
drop owned by u_readonly;
drop user IF EXISTS u_readonly;
-- 创建只读用户:授予所有权限(管理员)再将其设置为只读用户(整个实例的只读用户)
create user u_readonly Superuser password 'Test@123';
alter user u_readonly set default_transaction_read_only = on;
-- 单个数据库的只读用户(推荐使用),将库的所有者的权限给予只读用户即可
create user u_readonly password 'Test@123';
grant db_user to u_readonly;
alter user u_readonly set default_transaction_read_only = on;

\c - u_readonly
-- 漏洞:开启事务 set 或begin transaction read write;后有写权限
begin;
set TRANSACTION READ WRITE;
create table public.t_hhh(id int);

image.png

权限授权

drop owned by u2_readonly;
drop user IF EXISTS u2_readonly;
-- 默认所有用户都有在public模式下create权限,需先回收,PG15已回收该权限
revoke create on schema public from public;
-- 若其他用户需要使用public模式会受到影响,需要重新授权
grant create on schema public to user_name;
-- 创建普通用户
CREATE user u2_readonly password 'Test@123'; 

-- 针对所有数据可读,PG14新增读写角色:pg_read_all_data(读权限) / pg_write_all_data(写权限)
grant pg_read_all_data to u2_readonly;

-- 部分数据可读:先授予模式的使用权限
grant USAGE on SCHEMA 模式名 to u2_readonly;
-- 再授予模式下现有表的查询权限
grant SELECT on all tables in schema 模式名 to u2_readonly;
-- 后面新创建的表得追加动态授权,不同用户创建的表需要不同用户来追加授权
alter default privileges in schema 模式名 grant select on tables to u2_readonly;

版本变更说明

PG 14 版本新增的全局读写权限的用户操作:

  • pg_database_owner:提供数据库宿主的通用权限,常见于模板库的定制化工作。
  • pg_read_all_data:提供全局读取的访问权限,实例级全局只读用户。
  • pg_write_all_data:提供全局写入的访问权限,实例级全局insert、update及delete。

PG 15 版本对public模式的 create 权限从public角色回收,普通用户将不能在public模式下创建表。

suoyue_zhan
关注
  • 3
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
PostgreSQL数据库的整体安全性
03-01
在本文中,了解可以用来保护您的PostgreSQL数据库的安全措施。报纸上经常出现黑客袭击企业数据库的报道。大多数攻击由叛逆的未成年人发起的日子已经一去不复返。如今,数据收集成为了一项重要的事业,并且由在企业...
postgresql数据库创建
05-11
数据库创建
postgresql15 创建只读用户
xuejianxinokok的专栏
05-06 573
【代码】postgresql15 创建只读用户
PostgreSQL's SET default_transaction_read_only = off;只读事物模式
weixin_34148340的博客
01-05 1763
数据库变成只读模式,目前PostgreSQL没有严格意义上的只读模式(如临时表在只读事务中还是可以使用的)。通过调整参数或设置事务模式可以将后续登录的SESSION或者当前事务设置为只读模式。在只读模式下,PostgreSQL不允许如下SQL:When a transaction is read-only, the following SQL commands are disal...
PostgreSQL创建数据库数据库管理员用户、该库的只读用户
wx370092877的博客
02-27 1143
PostgreSQL创建数据库数据库管理员用户、该库的只读用户
postgresql创建一个只读账户指定数据库
welling_22的博客
08-25 2627
这样,只读用户将被授予连接到指定数据库以及在 "public" 模式下执行 "SELECT" 查询的权限,但不会被授予对表的修改权限。在这个示例中,假设您要创建一个名为 "readonly_user" 的只读账户,并且要将其限制在访问名为 "mydatabase" 的数据库。1. **登录到 PostgreSQL:** 使用具有足够权限的管理员账户(通常是 "postgres" 用户)连接到 PostgreSQL 数据库。3. **授予只读权限:** 授予只读用户访问数据库只读权限
PostgreSql+PostGis创建空间数据库
05-03
PostgreSql+PostGis 创建空间数据库 PostgreSql 是一个功能强大且开源的关系数据库管理系统,它提供了一个强大的平台来存储和管理数据。PostGis 是一个基于PostgreSql 的空间数据库扩展,它提供了对空间数据的支持...
Linux下创建Postgresql数据库的方法步骤
09-09
PostgreSQL 是一种非常复杂的对象-关系型数据库管理系统(ORDBMS),也是目前功能最强大,特性...下面这篇文章主要给大家介绍了关于在Linux下创建Postgresql数据库的方法步骤,需要的朋友可以参考,下面来一起看看吧。
10.javaSE基础_JDBC编译程序(Driver+Statement+Connection+mysql数据库连接)
m0_61086522的博客
07-02 1212
JDBC是的缩写。它是Sun的Javasoft公司制定的Java数据库连接技术,是一套标准接口java.sql包中提供了JDBC API,通过它连接到各种数据库系统,编写访问数据库的程序。JDBC API不能直接访问数据库,它依赖于数据库厂商提供的JDBC Driver(JDBC驱动程序)
QT学习积累——方法参数加const和不加const的区别
Arya的博客,专注后端领域
07-03 1022
QT学习积累——方法参数加const和不加const的区别
数据库原理之并发控制的基本概念
最新发布
m0_75262255的博客
07-06 901
并发控制的简单介绍。
短链接学习day2
weixin_63374588的博客
07-05 753
需要注意的是,转换过程中,BeanUtil.toBean()方法通过反射机制创建了目标类型的实例,并将数据源对象的属性值复制到目标对象中。但是为了防止redis的主节点挂掉后,从节点变成主节点时,有些数据还没复制,就会导致脏数据,就会可能导致用户名重复,所以为了防止这个情况,我们需要将username设置为唯一索引,让数据库兜底。因为用户名不是特别重要的数据,如果说我设置用户名为 aaa,系统返回我不可用,那我大可以在 aaa 的基础上再加一个a,也就是 aaaa。一定要记得写枚举的时候是用逗号分割。
back-end developer 后端开发的一些常识
wuxiaoyu0806的博客
07-03 623
当订单量增加时,你可以增加更多送货员(扩展容器),当某个送货员生病时,你可以立即派其他人顶替(自动恢复)。你有一本笔记本(Redis),记录了每种食物的库存情况(数据存储)。: 假设你在网上购物。浏览器会将你的订单信息(如商品名称、价格、数量)转换成JSON格式(打包成一个轻便的小包裹),然后发送给服务器。服务员(生产者)将订单(消息)放在一个传送带上(消息队列),你(消费者)从传送带上取下订单并制作食物。无论你搬到哪儿(不同的计算环境),只要打开箱子,里面的物品都能立刻使用,不需要重新整理(配置环境)。
Oracle RMAN备份和清理过期归档的通用脚本
一杯温酒慰风尘,一段代码为爱好
07-03 518
Oracle RMAN备份和删除过期归档文件的通用脚本
Redis高可用之持久化
weixin_62922268的博客
07-01 874
在web服务器中,高可用是指服务器可以正常访问的时间,衡量的标准是在多长时间内可以提供正常服务(99.9%、99.99%、99.999%等等)但是在Redis语境中,高可用的含义似乎要宽泛一些,除了保证提供正常服务( 如主从分离、快速容灾技术),还需要考虑数据容量的扩展、数据安全不会丢失等redis中大量缓存key集体过期大量请求访问redis和MySQL都不存在的资源redis中一个热点key过期,此时又有大量用户访问这个热点key(redis-cli --hotkeys 可用于查找热Key)
ShardingSphere
Casual_Lei的博客
07-04 620
ShardingSphere 通过提供数据分片、分布式事务、数据加密和读写分离等功能,帮助开发者轻松构建高性能、高可用的分布式数据库系统。其灵活的架构设计和丰富的功能模块,使其成为现代分布式数据库中间件的优秀选择。
如何使用缓存提升SpringBoot性能(EhCache和Redis方式)
三两肉的博客
07-03 979
缓存是指将文件或数据的副本存储在缓存或临时存储位置中,以便未来对该数据的请求可以更快地提供服务。当从存储中检索数据时,会在缓存中创建该数据的副本。如果再次需要该数据,可以从缓存中比从主存储器中更快地检索到该数据,主存储器可能涉及复杂的计算或较慢的访问速度。如何使用缓存提升SpringBoot性能(EhCache和Redis方式)
创建PostgreSQL数据库用户
06-03
好的,你可以按照以下步骤创建一个PostgreSQL数据库用户: 1. 打开终端并以管理员身份登录到PostgreSQL数据库服务器。...现在你已经创建了一个新的PostgreSQL数据库用户,并授予了他访问数据库权限

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值