提高postgresql安全性(二、超级用户的隐患)

最新推荐文章于 2024-08-13 00:03:06 发布
最新推荐文章于 2024-08-13 00:03:06 发布
阅读量148 收藏 3
点赞数 7
分类专栏: postgresql 文章标签: postgresql 数据库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/trainee/article/details/136231703
版权

(以下讨论以postgresql10版本为准)

有些人在设计应用的时候,为了图方便,将超级用户postgres或有超级权限的用户当做应用程序的连接用户,此举危害极大。因为Postgresql有几个只有超级用户才能执行的函数,不但可以摧毁数据库,甚至可以摧毁服务器的操作系统。

一、大对象操作函数 lo_import、lo_export:
     lo_import函数可读取操作系统的文件为一大对象,lo_export函数可将大对象写到操作系统的文件,假设你的服务器C盘有个文件odbc.ini。
 

select lo_import('c:\odbc.ini') -- 返回OID,比如是123
select lo_put(123,0,'\x414243') -- 将大对象前3个字符改为ABC
select lo_export(123,'c:\odbc.ini') -- 你会发现odbc.ini前3个字母也被改为ABC    
select lo_unlink(123)    -- 删除大对象123

所幸的是lo_import、lo_export存取操作系统文件的权限依赖于服务器运行postgresq操作系统用户的权限,如果是系统管理员administator身份运行postgresql,那就可以修改服务器上的任何文件。所以postgresql在设计时是不允许系统管理员初始化和运行数据库的,然而在文件系统没有权限设置功能的操作系统如WIN7、XP等非服务器版的电脑上,postgresql是可以以系统管理员身份运行的,所以在这些系统上运行postgresql是十分危险的事。

二、文件存取函数 pg_ls_dir、pg_read_file、pg_read_binary_file:
     虽然以上文件存取函数只限于pgdata集群目录,但pg_ls_dir函数可列出目录的内容,pg_read(_binary)_file函数可读取文件内容,很容易将数据库的整个集群从服务器上download下来,如果有SSL私钥key也放在这pgdata目录(默认)下,也会被一览无余。

三、状态采集函数 pg_stat_activity:
   pg_stat_activity 可列出当前正在连接的进程状态,其中列query可显示上次执行语句,若有机密数据,也将被一览无余(非超级权限用户也可执行此函数,但此列是空的)

综上所述,请不要将超级权限用户分发到应用上,同时严格保密密码,也不要将postgresql装在非服务器版本的电脑上

trainee
关注
  • 7
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
专栏目录
root用户安装postgresql和 postgres用户-bash问题
weixin_43084715的博客
06-16 1517
root用户安装postgresql和 postgres用户-bash问题,使用 root 进行源码编译安装,初始化数据库集簇 postgresql-setup initdb
postgresql:如何上传进制数据
trainee的专栏
10-14 2515
PostgreSQL进制数据类型为bytea,可最多保存2G的数据。在ADO、ODBC等接口,可通过带参数化的插入SQL语句上传进制。 然而在某些接口、SQL语句无法进行参数绑定,或者某些语言没有进制的类型,或者接口的不兼容等原因,常无法上传进制数据。 碰到这种情况下,必须在客户端将进制转化为一定规则的字符序列,然后插入语句时,来个显示转换cast(字符序列 a
PostgreSQL的SSL部署
trainee的专栏
06-03 1927
随着云服务器的兴起,越来越多的数据库服务器被安装在远程。用SSL连接代替明文连接,是数据库的基本安全功能。很庆幸PostgreSQL很早就支持openSSL,各发行版本都带有openSSL连接库(libeay32.dll和ssleay32.dll,可能还有某版本VC运行库)。 PostgreSQL的SSL连接分两块: 1、服务端的SSL验证:用SSL连接代替明文连接以防止网络包被窃听和防止他人伪装成服务器 2、客户端的SSL验证:用客户端SSL证书登录代替密码登录。 本文只讲第一块:服务端的SSL验证。以下
POSTGRESQL 让客户端互相通信
trainee的专栏
04-17 1566
 POSTGRESQL 让客户端互相通信在客户端/服务器的工作模式下,客户机处于主动状态,发送请求给监听状态的服务器,后者处理后再将结果返回给客户机。在这种工作模式下,客户端只与服务端联系,因为它不处于监听状态,所以无法收到服务端或其他客户端“不请自来”的信息。这导致一个现象发生:当某个客户端修改了服务端的数据后,其他客户端不能实时获知,以至这些客户端所获取的数据过时。目前解决的主要方法是客户
POSTGRESQL 中如何隐藏存储过程
trainee的专栏
10-10 1307
 POSTGRESQL(以下简称PG)是功能强大的开源数据库,在*NUX下表现出色,性能不逊于ORACLE。更主要的是它提供源代码,而且可进行自行修改,用于商业目的。PG的存储过程统一以函数形式存在,调用的时候用SELECT FUNCTION_NAME(ARG...) 或 SELECT OUT_ARG FROM FUNCTION_NAME(IN_ARG...)形式,而不是用CALL语句。PG的
postgresql返回服务端的进制文件
trainee的专栏
01-28 1140
 在postgresql的8.2后,加了一个函数pg_read_file,可以读取服务器上的文件返回给客户端。 该文件返回类型为TEXT类型,所以只能读取文本文件,对于进制文件或者字符集与数据库默认字符集不兼容的文本文件,所读的数据将被截断。 如何能读进制文件,返回bytea类型呢?经源代码分析,该函数的内置函数其实是可以读取进制的,只是接口被转化为文本类型,而在PG
第三方工具导入导出PG可能出现的问题
trainee的专栏
01-28 949
 对于PostgreSQL,导出、导入一般用自带的pg_dump和pg_restore或psql. 若要第三方非特制的工具导出,再导入,或者手工写SQL,除了注意触发器和约束等其他数据库必须注意的通常问题外,还要考虑pg中serial问题: 在pg中,插入一个带有serial字段的表,若不指明serial字段值,serial会自动增加一个值,这和其他数据库是一样的。  
提高postgresql安全性(一、关于权限)
trainee的专栏
09-30 652
以下讨论以postgresql 10版本为例 关于权限: 如果没有授权,默认情况下:所有表、schema都无法读取,但数据库任何用户都可以连接,函数任何用户可以执行。默认权限可用 ALTER DEFAULT PRIVILEGES进行修改,但修改默认权限只是对新建的对象起作用,对已建立的对象不起作用。 默认情况下,数据库任何人都可以连接,若要提高安全性,需用 REVOKE ALL ON DATABASE .. FROM PUBLIC, 再对特定的用户一个个授权。除此外,也可以通过pg_hba.conf..
提高postgresql安全性(三、转义符和SQL注入)
trainee的专栏
02-22 445
在SQL标准中,转义字符串中的'是转义为''(两个单引号),可是很多客户端软件都转义为\'(反斜杆+单引号),为了兼容,若将backslash_quote设为on,将允许\'存在,但对某些客户端编码是不安全的,其中就包括我们gbk编码,因为汉字gbk编码有些字符的末位在数值上等同于\(值为0x5c),某些客户端软件会将这些字符转义错误,导致出现不应该出现的\'而被SQL注入。默认为on:字符串中的反斜杆\ 不起转义作用。(如utf8)或者多测试一下你的转义程序,用最后编码为0x5c 的字符多测试一下。
Ubuntu22.04安装Go语言的几种方式
ALONG的博客
07-25 1333
Go 推荐使用工作空间(workspace)的概念来组织代码。:Go 语言有许多有用的第三方工具,你可以使用它们来增强开发体验,例如。:安装完成后,你可以通过阅读官方文档、在线教程或书籍来学习 Go 语言。请注意,Go 语言的版本更新频繁,上述命令中使用的版本号(例如。建议访问 Go 官方网站下载最新版本。请检查 Go 官方网站以获取最新版本的下载链接。配置 Go 环境变量。这将把 Go 安装到。来创建一个工作空间。
SpringBoot依赖之Quartz Scheduler定时调度器使用MySQL存储Job
ahauedu的专栏
08-07 639
接上一篇。本篇将在 Spring Boot 项目中,使用 Quartz Scheduler 结合 MySQL 数据库来存储 Job。
JDBC详细使用
m0_73627305的博客
08-09 482
​ JDBC是一种标准,一种规则,主要作用是使用java语言操作数据库的​ JDBC这个标准中有很多的接口,接口中有很多方法。
seatunnel2.3.3在centos7上安装
鑫哥
08-09 829
安装前需要准备点环境,因为seatunnel是基于java开发的,因此需要先安装java,我这里使用的java1.8,可以网上搜索下java安装教程,记得配置JAVA_HOME环境变量。在安装的过程中需要用到mysql命令,因此也需要安装下MySQL环境,这里也不具体讲解了,在网上搜索安装就行。接下来就是正式安装seatunnel了,
[Qt][Qt窗口][下]详细讲解
最新发布
SnowK博客
08-13 1018
[Qt][Qt窗口][下]详细讲解
Linux安全与高级应用(四)深入探索MySQL数据库:安装、管理与安全实践
洛秋的博客
08-07 1460
Linux:作为操作系统,提供稳定的运行环境。Apache:作为Web服务器,处理HTTP请求。MySQL:作为数据库管理系统,存储和管理数据。:作为脚本语言,生成动态网页。LAMP平台的优势在于其成本低廉、可定制性强、易于开发、方便易用且安全稳定。这使得LAMP成为许多企业和开发者的首选平台。通过以上步骤,我们完成了LAMP平台的部署及其主要组件的配置和测试。LAMP平台的搭建不仅为Web开发提供了一个强大的环境,同时也展现了其在成本和效率上的优势。
springboot民办高校科研项目管理系统-计算机毕业设计源码54009
VX_DZbishe的博客
08-11 303
论文主要是对基于springboot的民办高校科研项目管理系统进行了介绍,包括研究的现状,还有涉及的开发背景,然后还对系统的设计目标进行了论述,还有系统的需求以及整个的设计方案,对系统的设计以及实现,也都论述的比较细致,最后对基于springboot的民办高校科研项目管理系统进行了一些具体测试。本次报告,首先分析了研究的背景、作用、意义,为研究工作的合理性打下了基础。
8.7-主从数据库的配置+mysql的增删改查
qq_70752758的博客
08-07 694
Slave_IO_Running和Slave_SQL_Running都是yes就表示主从数据库配置成功了。insert into 表名称 values(1,"name","word")先查看按照升序排列的qty,然后在这基础上在按照price的升序排列进行查看。当使用聚合查询以后,不能使用where,如果要使用,添加having。insert into 表名称 select * from 其他表。insert into 表 value () ,()创建可以远程登录的用户。查看升序排列的qty。
贷齐乐系统sql注入漏洞
banliyaoguai的博客
08-12 306
然后在这里取值的时候.和_会区分开,然后我们可以在第一个i_d写我们的payload,在i.d写正常数据用来绕过waf。可以使用使用php小特性和全局污染绕过,在这里的时候会将.转换成下划线,然后桡骨第一个waf。这里由于等号被过滤乐所以使用like,然后查表名的时候由于'被过滤所以使用了16进制编码。首先php在遇到两个相同名字参数时,php是取后一个的,如下图最终i_d的值为1。代码先走这里将输入的数据进行过滤。然后再继续往下走,再进行一个查询。然后继续往下,用=进行分割。
postgresql 创建超级用户
08-24
要在PostgreSQL中创建超级用户,你可以使用以下两种方法之一: 1. 使用ALTER ROLE命令修改现有用户的权限并将其设置为超级用户。例如,使用以下命令将名为test的用户设置为超级用户: ALTER ROLE test SUPERUSER; 2. 使用CREATE ROLE命令创建一个新的超级用户。例如,使用以下命令创建名为test的用户并设置其为超级用户: CREATE ROLE test SUPERUSER PASSWORD 'your_password'; 请注意,创建超级用户需要超级用户权限,因此您需要以超级用户身份登录到PostgreSQL数据库才能执行这些命令。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *2* *3* [postgresql用户权限管理](https://blog.csdn.net/hjh872505574/article/details/91411530)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_1"}}] [.reference_item style="max-width: 100%"] [ .reference_list ]
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

trainee

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值