提高postgresql安全性(一、关于权限)

最新推荐文章于 2024-06-28 10:45:00 发布
最新推荐文章于 2024-06-28 10:45:00 发布
阅读量652 收藏 1
点赞数
分类专栏: postgresql 文章标签: 数据库 postgresql sql
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/trainee/article/details/120568364
版权

以下讨论以postgresql 10版本为例
关于权限:

  1. 如果没有授权,默认情况下:所有表、schema都无法读取,但数据库任何用户都可以连接,函数任何用户可以执行。默认权限可用 ALTER DEFAULT PRIVILEGES进行修改,但修改默认权限只是对新建的对象起作用,对已建立的对象不起作用。
  2. 默认情况下,数据库任何人都可以连接,若要提高安全性,需用 REVOKE  ALL ON DATABASE .. FROM PUBLIC,  再对特定的用户一个个授权。除此外,也可以通过pg_hba.conf 来限定特定的用户才可连接。
  3. 默认情况下,函数任何人都可以执行,对于SECURITY INVOKER函数(默认情况下), 因为执行还受执行者权限限制,若对某表无权限,函数也无法执行下去,而对SECURITY DEFINER 函数(带S标志,执行者拥有定义者权限)一定要需用 REVOKE  ALL ON FUNCTION .. FROM PUBLIC,  再对特定的用户一个个授权。
  4. 所有函数都是任何用户可读,没有REVOKE语句可防止函数被读,这十分不利于保护自己写的函数代码,但可以用以下语句进行限定 
    REVOKE ALL ON pg_catalog.pg_proc FROM public;
REVOKE all on function pg_catalog.pg_get_functiondef from public;
    所有的函数都读取不了,只有超级用户和 函数拥有者可读取。
  5. 对public的理解:public并不指“所有用户“,而是指"除目前已授权用户外的所有用户", 如 
    - 授权语句
grant all on table xxx to abc;

-- 解除授权语句
revoke all on table xxx from public; -- public 不能解除abc用户的权限

revoke all on table xxx from abc; -- 必须再加上这条解除授权语句

trainee
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
PostgreSQL安全最佳实践
MachineGunJoe666
04-27 620
数据库是黑客眼中的“圣杯”,需要我们像对待“花朵”一样精心呵护它。本文主要介绍数据库保护的最佳实践。首先,从最常用的开源数据库PostgreSQL开始,我们将一一介绍诸位需要考虑的几个安全层级: PostgreSQL中网络层的安全 防火墙 理想情况下,PostgreSQL服务器应当是完全隔离,不允许任何入站申请、SSH或psql的。然而,PostgreSQL没有对这类网闸设置提供开箱即用的支持。 我们最多也只能通过设置防火墙,锁定数据库所在节点的端口级访问来提升数据库服务器的安全性。默认情况下,Post.
postgresql 授权
kangseung的博客
11-28 1123
I ended up here because my DB user saw only a few tables and not the newer ones. If this is your case, this has helped me.Grant privileges to all existing tables: Grant privileges to all new tables to be created in future (via default privileges):
PostgreSQL】守护城堡:PostgreSQL用户管理与安全性强化
最新发布
weixin_43298211的博客
06-28 721
数据备份与恢复策略是应对灾难性事件,保护数据不丢失的重要措施。
select也要小心——PostgreSQL security invoker函数带来的安全隐患
Focus on PostgreSQL
03-20 2291
pg中创建函数时可以指定权限检测,有两个可选参数:SECURITY INVOKER和SECURITY DEFINER。 SECURITY INVOKER:表示要用调用该函数的用户的特权来执行它。这是默认值。 SECURITY DEFINER:指定要用拥有该函数的用户的特权来执行该函数。 比如我们使用普通用户创建了一个调用者权限的函数,那么当超级用户调用这个函数时,就会以超级用户的权限来执行,这就会...
oracle 授权
有一种坚持就作不放弃
04-23 620
--select * from dba_users; 查询数据库中的所有用户   --alter user TEST_SELECT account lock; 锁住用户   --alter user TEST_SELECT account unlock; 给用户解锁   --create user xujin identified by   xujin; 建立用户   --grant cr...
当前用户的表授权
annderlee的博客
05-10 1146
命令格式:grant xxx权限 on Table to USER grant select,insert,update,delete,all on [表名] to [用户名] 例如:将talbe表的查询权限赋予superUser这个用户 grant select on talbeto superUser 若是授予全部权限: grant all on talbeto superUser 若...
设置CA证书来强化PostgreSQL安全性的教程
09-10
总的来说,设置CA证书强化PostgreSQL安全性是一项涉及多个步骤的过程,但这样做能有效提升数据库服务的安全等级,防止未授权访问和数据泄露。记住,安全总是需要权衡便利性,因此在设置过程中要确保所有关键步骤都...
postgrest和postgresql权限认证,jwt插件
04-15
- 安全性:由于JWT是加密的,即使被拦截,攻击者也无法解读其中的信息,增加了安全性。 - 非持久化会话:因为JWT存储在客户端,服务器无需维护会话状态,降低了服务器资源消耗。 总的来说,PostgREST和JWT插件结合...
PostgreSQL PRIVILEGES(权限
12-16
PostgreSQL 数据库管理系统中,权限管理是确保数据安全和控制用户访问的重要机制。当创建数据库对象,如表、视图、序列、函数等时,...这对于大型企业或组织来说尤为重要,因为它们需要确保数据的安全性和合规性。
Postgresql-10安装包
05-18
安装完成后,你可能需要进一步配置 PostgreSQL 的性能、安全性和监控。这包括调整参数设置、设置备份策略、监控日志以及定期维护等。此外,学习 SQL 语言和熟悉 PostgreSQL 的管理命令也是至关重要的。 总之,...
postgresql安装包
10-07
PostgreSQL是一种开源的对象关系型数据库管理系统(ORDBMS),它以其强大的功能、高度的稳定性、良好的社区支持和丰富的数据类型而受到全球开发者的青睐。在本文中,我们将深入探讨PostgreSQL的安装过程,以及如何...
数据管理基础-ch23-25
sajasdf的博客
05-31 1224
用户权限定义和合法权检查机制一起组成了数据库管理系统的存取控制子系统GRANT语句的一般格式 语义:将对指定操作对象的指定操作权限授予指定的用户发出GRANT:按授权限的用户WITH GRANT OPTION子句:不允许循环授权[例4.1] 把查询Student表权限授予用户U1 [例4.2] 把对Student表和Course表的全部权限授予用户U2和U3 [例4.3]把对表SC的查询权限授予所有用户 [例4.4]把查询Student表的和修改学生学号的权限授予用户U4 [例4.5]把
PostgreSQL权限的分配和控制
互联网知识分享
09-29 1096
中,权限用于控制用户对数据库对象的访问和操作。ALTER DEFAULT PRIVILEGES:用于设置默认权限,即当用户创建新对象时,默认分配给该对象的权限。语句可以设置默认权限,即当用户创建新对象时,默认分配给该对象的权限。中,默认情况下,数据库对象的所有权和访问权限都是由创建该对象的用户所拥有。提供了一组权限控制语句,用于分配和撤销用户对数据库对象的权限。中进行权限的分配和控制。REVOKE:用于撤销用户或用户组对数据库对象的某种权限。GRANT:用于授予用户或用户组对数据库对象的某种权限
Greenplum删除集群中赋权的用户
知识的力量
11-12 876
目录 1、撤销用户在数据库上的权限 2、撤销用户在schema上的权限 3、撤销用户在table上的权限 4、撤销用户在function上的权限 5、删除角色 1、撤销用户在数据库上的权限 -- 移除数据库权限 revoke all on database databasename from username; databasename :数据库的名字 usern...
mysql用户认证、grant权限、grant创建用户、revoke废除权限_grant all on table
2401_84254364的博客
04-15 616
通过在grant语句的最后使用该子句,就允许被授权的用户把得到的权限继续授权给其他用户。1、如果grant的用户不存在,并且加上密码,会自动创建用户。3、u1可以访问test数据库里面的t1 表(所有权限)2、u1可以访问test数据库的所有表(insert)2、如果不加密码进行强制建立用户,则修改会话级别参数。1、u1可以访问所有数据库的所有表(select)4、u1可以访问test数据库中t1 表的id列。
ORACLE 用户表权限授权
gahaya的专栏
08-12 1232
以超级用户登录 grant all on table_name to username;
关于oracle 跨用户访问表
cwywx的博客
01-14 1759
oracle 中 用户A 用户B 用户A 有 table1,package1  如果 b用户 想访问 table1  . 首先 ,要通过有权限的用户给b用户做授权。 GRANT all ON table1 TO 用户B; GRANT all ON package1 TO 用户B; GRANT— 赋予一个用户,一个组或所有用户访问权限GRANT privilege [, ...]
PostgreSQL的用户、角色和权限管理
热门推荐
深入理解PostgreSQL
02-23 9万+
Pg权限分为两部分,一部分是“系统权限”或者数据库用户的属性,可以授予role或user(两者区别在于login权限);一部分为数据库对象上的操作权限。对超级用户不做权限检查,其它走acl。对于数据库对象,开始只有所有者和超级用户可以做任何操作,其它走acl。在pg里,对acl模型做了简化,组和角色都是role,用户和角色的区别是角色没有login权限。   可以用下面的命令创建和删除角色
MySQL数据库——'授权语句'与'收回权限语句'
临渊
04-10 2万+
1.授权的语句格式 GRANT <权限>[,<权限>..] [ON <对象类型><对象名>] TO <用户>[,<用户>..] [WITH GRANT OPTION]; --例 --给两个表赋予全部操作权限给两个用户 GRANT ALL PRIVILEGES ON TABLE A,B TO U1,U2;ps.注意不同类型的操作对象,有着不同的操作权限 对象 对象类型 操作权限 属性
PostgreSQL安全基线
03-20
PostgreSQL安全基线是指一组安全配置和施,用于保护PostgreSQL数据库免受潜在的安全威胁攻击。以下是一些常见的PostgreSQL安全基线配置和措施: 1. 强密码策略:确保所有用户都使用强密码,并定期更改密码。密码应包含大小写字母、数字和特殊字符,并且长度应足够长。 2. 定期更新和升级:及时应用PostgreSQL的安全补丁和更新,以修复已知的漏洞和安全问题。 3. 最小权限原则:为每个用户分配最小必要的权限,避免赋予过高的权限。使用角色和权限管理功能来限制用户对数据库的访问和操作。 4. 安全连接:使用SSL/TLS协议来加密数据库连接,确保数据在传输过程中的机密性和完整性。禁用不安全的连接方式,如明文传输密码。 5. 防火墙和网络隔离:使用防火墙来限制对PostgreSQL服务器的访问,并将数据库服务器放置在安全的网络环境中,与公共网络隔离。 6. 审计和日志记录:启用审计功能,记录数据库的活动和事件。定期检查日志文件,及时发现异常行为和潜在的安全威胁。 7. 数据备份和恢复:定期备份数据库,并将备份数据存储在安全的位置。测试和验证备份的可用性,以便在需要时能够快速恢复数据。 8. 强制访问控制:使用访问控制列表(ACL)和行级安全(RLS)等功能,限制用户对数据库对象的访问和操作。 9. 安全审计和漏洞扫描:定期进行安全审计和漏洞扫描,发现和修复潜在的安全问题。 10. 安全培训和意识:提供安全培训和意识活动,教育用户和管理员有关数据库安全的最佳实践和常见威胁。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

trainee

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值