PostgreSQL -public schema

于 2024-06-15 15:50:53 发布
阅读量800 收藏 20
点赞数 18
分类专栏: Postgresql 文章标签: postgresql 数据库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43230594/article/details/139699625
版权

文章目录

Overview

上一篇文章中,介绍了理解 PostgreSQL schema的基础知识、创建和删除机制,并回顾了几个用例。本文将扩展这些基础知识并探讨与schema相关的权限管理。
但有一个需要澄清的初步事项。在上一篇文章中,讨论了一个可能的混淆点,涉及到“schema”一词的多重使用。在PostgreSQL数据库上下文中,该术语的专门含义与其在关系数据库管理系统中通常的使用方式不同。对于当前主题,有另一个类似的术语混乱,涉及“public”一词。

在初始创建数据库时,新创建的PostgreSQL数据库包括一个预定义的名为“public”的schema。它是一个和其他schema一样的schema,但同一个词也用作一个关键字,在本应使用实际role name的上下文中表示“all users”,例如schema权限管理。下面的例子将澄清这一术语的重要性及其两种不同用法。

查询Schema权限

在使用示例代码来授予和撤销schema权限之前,需要回顾一下如何检查schema的权限。使用 psql 命令行界面,我们使用 dn+ 命令列出schema和相关权限。对于新创建的 sampledb 数据库,我们会看到public schema的以下內容:

sampledb=# dn+ 
                          List of schemas
  Name  |  Owner   |  Access privileges   |      Description      
--------+----------+----------------------+------------------------
 public | postgres | postgres=UC/postgres+| standard public schema
        |          | =UC/postgres         |
(1 row)

前两列和第四列非常简单:如前所述,显示默认创建的schema名为“public”,描述为“standard public schema”,由角色“postgres”拥有。(除非另有指定,否则schema所有权设置为创建schema的角色。)第三列列出了访问权限,这是这里感兴趣的内容。权限信息的格式提供了三个项目:privlileges grantee(权限被授予者)、privilege(权限)和privilege grantor(权限授予者),格式为“grantee=privileges/grantor”,即等号左侧是接收权限的角色,等号右侧是一组指定特定权限的字母,最后在斜线后面是授予权限的角色。可能会有多个此类权限信息规范,以"+"号分隔列出,因为权限是累加的。
对于schema,有两种可能的权限可以分别授予:U 代表“USAGE”(使用)和 C 代表“CREATE”(创建)。前者是一个角色查找schema中包含的数据库对象(如表和视图)所必需的权限;后者允许一个角色在schema中创建数据库对象。其他类型的数据库对象还有其他权限字母,但对于schema,只适用于 U 和 C。
因此,为了解释上面的权限列表,第一个规范告诉我们,postgres 用户被授予在public schema上update和create的权限。

请注意,对于上面的第二个规范,等号左侧会出现一个空字符串。这就是通过前面提到的 PUBLIC 关键字授予all users的权限的表示方式。

后一种在public schema上授予"all users" usage和create权限的规范,被一些人视为可能违背了通用安全原则的最佳实践,因为最佳实践通常倾向于从默认限制访问开始,要求数据库管理员明确授予适当且最低必要的访问权限。这些在public schema上的宽松权限是有意在系统中配置的,目的是为了方便和兼容旧系统。
还要注意,除了宽松的权限设置外,public schema唯一特别之处在于它也列在了search_path中,正如我们在上一篇文章中讨论的那样。这同样是为了方便:search_path配置和宽松的权限设置共同使新数据库的使用变得像是没有schema这个概念一样。

public schema的历史背景

这种兼容性问题起源于大约十五年前(在 PostgreSQL 7.3 版之前,参见 7.3 版发布说明),当时 PostgreSQL 还没有schema 特征。在 7.3 版引入schema功能时,通过配置public schema的宽松权限和 search_path,使得旧版应用程序(这些应用程序不支持schema)能够在升级后的数据库功能中无需修改地运行,从而确保了兼容性。
除此之外,public schema没有什么特别之处:如果用例不需要它,一些 DBA 会删除它;其他人则通过撤销默认权限来锁定它。

撤销权限

schema权限通过 GRANT 和 REVOKE 命令进行管理,分别用于添加和撤销权限。我们将尝试一些限制public schema的权限具体示例,但一般语法是:

REVOKE [ GRANT OPTION FOR ]
    { { CREATE | USAGE } [, ...] | ALL [ PRIVILEGES ] }
    ON SCHEMA schema_name [, ...]
    FROM { [ GROUP ] role_name | PUBLIC } [, ...]
    [ CASCADE | RESTRICT ]

因此,作为初始的示例,我们从public schema中移除create权限。请注意,在这些示例中,小写单词“public”指的是schema,可以替换为数据库中存在的任何其他有效schema名称。大写的“PUBLIC”是一个特殊关键字,表示“所有用户”,可以用特定角色名称或逗号分隔的角色名称列表替换,以实现更精细的访问控制。

sampledb=# REVOKE CREATE ON SCHEMA public FROM PUBLIC;
REVOKE
sampledb=# dn+
                          List of schemas
  Name  |  Owner   |  Access privileges   |      Description       
--------+----------+----------------------+------------------------
 public | postgres | postgres=UC/postgres+| standard public schema
        |          | =U/postgres          | 
(1 row)

在这个schema权限列表中,与第一个列表唯一的区别是第二个权限规范中缺少了“C”,这证实了我们的命令已经生效:除了postgres用户之外的用户不再能在public schema中创建表、视图或其他对象。

请注意,上述从public schema中撤销create权限的命令是针对之前公布的漏洞CVE-2018-1058的建议缓解措施,该漏洞源于public schema上的默认权限设置。

进一步的限制可能需要通过删除使用权限来完全拒绝对此schema的查找访问:

sampledb=# REVOKE USAGE ON SCHEMA public FROM PUBLIC;
REVOKE
sampledb=# dn+
                          List of schemas
  Name  |  Owner   |  Access privileges   |      Description       
--------+----------+----------------------+------------------------
 public | postgres | postgres=UC/postgres | standard public schema
(1 row)

由于非所有者用户的所有可用的schema权限均已被撤销,因此整个第二个权限规范在上面的列表中消失。

我们使用两个单独的命令执行的操作可以通过一个指定所有权限的命令简洁地完成,如下所示:

sampledb=# REVOKE ALL PRIVILEGES ON SCHEMA public FROM PUBLIC;
REVOKE

此外,还可以撤销schema所有者的权限:

sampledb=# REVOKE ALL PRIVILEGES ON SCHEMA public FROM postgres;
REVOKE
sampledb=# dn+
                        List of schemas
  Name  |  Owner   | Access privileges |      Description       
--------+----------+-------------------+------------------------
 public | postgres |                   | standard public schema
(1 row)

但这实际上并没有实现任何实际效果,因为schema所有者仅凭所有权就保留了对其所拥有schema的全部权限,而不管明确分配与否。
public schema的宽松权限分配是与初始数据库创建相关的特殊产物。后续在现有数据库中创建的schema遵循了最佳实践,即开始时不分配任何权限。。例如,在创建名为“private”的新schema后检查schema权限,显示新schema没有权限:

sampledb=# create schema private;
CREATE SCHEMA
sampledb=# dn+
                          List of schemas
  Name   |  Owner   |  Access privileges   |      Description       
---------+----------+----------------------+------------------------
 private | postgres |                      | 
 public  | postgres |                      | standard public schema
(2 rows)

Granting Privileges

添加权限的命令的一般形式为:

GRANT { { CREATE | USAGE } [, ...] | ALL [ PRIVILEGES ] }
    ON SCHEMA schema_name [, ...]
    TO role_specification [, ...] [ WITH GRANT OPTION ]
where role_specification can be:
  [ GROUP ] role_name
  | PUBLIC
  | CURRENT_USER
  | SESSION_USER

例如,使用此命令,我们可以允许所有角色通过添加usage权限来查找private schema的数据库对象

sampledb=# GRANT USAGE ON SCHEMA private TO PUBLIC;
GRANT
sampledb=# dn+
                          List of schemas
  Name   |  Owner   |  Access privileges   |      Description       
---------+----------+----------------------+------------------------
 private | postgres | postgres=UC/postgres+| 
         |          | =U/postgres          | 
 public  | postgres |                      | standard public schema
(2 rows)

请注意,现在我们已经为schema分配了非默认权限,UC权限以postgres所有者作为第一规范出现。第二个规范,=U/postgres,对应于我们刚刚作为postgres用户调用的GRANT命令,授予所"all users"使用权限(回想一下,等号左侧的空字符串表示“all users”)。

例如,可以为名为“user1”的特定角色授予private schema的create和usage权限:

sampledb=# GRANT ALL PRIVILEGES ON SCHEMA private TO user1;
GRANT
sampledb=# dn+
                          List of schemas
  Name   |  Owner   |  Access privileges   |      Description       
---------+----------+----------------------+------------------------
 private | postgres | postgres=UC/postgres+| 
         |          | =U/postgres         +| 
         |          | user1=UC/postgres    | 
 public  | postgres |                      | standard public schema
(2 rows)

我们还未提及一般命令形式中的“WITH GRANT OPTION”子句。正如其字面意思,此子句允许授予的角色将指定的权限授予其他用户,它在权限列表中以附加到特定权限的星号表示。

sampledb=# GRANT ALL PRIVILEGES ON SCHEMA private TO user1 WITH GRANT OPTION;
GRANT
sampledb=# dn+
                          List of schemas
  Name   |  Owner   |  Access privileges   |      Description       
---------+----------+----------------------+------------------------
 private | postgres | postgres=UC/postgres+| 
         |          | =U/postgres         +| 
         |          | user1=U*C*/postgres  | 
 public  | postgres |                      | standard public schema
(2 rows)

结论

最后,请记住,我们只讨论了schema访问权限。虽然 USAGE 权限允许查找schema中的数据库对象,但要实际访问对象以执行特定操作(例如读取、写入、执行等),角色还必须具有对这些特定数据库对象执行这些操作的适当权限。

中年如酒
关注
  • 18
    点赞
  • 20
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Laravel开发-postgresql-schema
08-27
Laravel的`Schema`类并不直接支持PostgreSQL的继承特性,但可以通过执行原生SQL语句来实现。例如,你可以创建一个父表,然后定义子表继承自该父表: ```php use Illuminate\Support\Facades\Schema; use Illuminate...
postgres-schema-ts::elephant:将PostgreSQL模式转换为TypeScript
04-15
currentSchema=public# to infer a specific table$ npx postgres-schema-ts postgresql://postgres@localhost:5433/db ? currentSchema=public table_name 提示:您可以使用npx postgres-schema-ts <args> > ...
(九)PostgreSQLschema管理
lee_vincent1的博客
04-17 3479
case 2:在数据库white中创建schema yewu3,并指定owner为test2。case 1:修改schema yewu2的owner 为test2。case2:修改schema yewu2的名称为yewu2_new。case3:删除schema yewu3,带参数restrict。case 1:在数据库white中创建schema yewu2。case2:删除schema yewu2,带参数cascade。case 1:删除schema yewu1。
(六)PostgreSQL的组织结构(3)-默认角色和schema
lee_vincent1的博客
04-15 1066
PostgreSQL 自带一些内置的角色,这些角色拥有特定的系统权限,用于执行管理任务、权限控制等。
【PG】PostgreSQL 模式(Schema
DBA之路的博客
10-24 7120
一个PostgreSQL数据库集群中包含一个或更多的数据库。角色和一些其他对象类型被整个集群共享,连接到服务器的客户端只能访问单个数据库中的数据,在连接请求中指定的那一个。一个数据库包含一个或多个模式,模式中包含着表。模式还包含其他类型的命名对象,包括数据类型、函数和操作符。相同的对象名称可以被用于不同的模式中而不会出现冲突,例如schema1和myschema都可以包含名为mytable的表。
PostgreSQL 模式介绍
hmxz2nn的博客
09-15 3809
模式(schema)是数据库中的一个概念,可以将其理解为一个命名空间或者目录(用\dn查看有哪些模式)。类似于操作系统层次的目录,只不过模式不能嵌套。 一个数据库包含一个或多个命名的模式,模式又包含表。模式还包含其它命名的对象,包括数据类型,函数,以及操作符。同一个对象名可以在不同的模式里使用而不会导致冲突;比如,schema1 和 myschema 都可以包含叫做 mytable 的表。和数据...
PostgreSQLpublic schema的权限和安全
jnrjian的博客
03-09 3314
Ask QuestionAsked 5 years, 11 months agoModified 5 years, 11 months agoViewed 9k timeshttps://6bd9ca2770bba42c354e886179ea6c97.safeframe.googlesyndication.com/safeframe/1-0-40/html/container.htmlReport this ad5I am using postgresql -8.4.20 which is a back-
PostgreSQL模式详解
qq_31943653的博客
08-03 3208
一个GP数据库包含一个或多个命名的schema,schmea包含表,其它命名的对象,包括数据类型、函数,以及操作符。同一个对象名可以在不同的模式里使用而不会导致冲突; 比如,schema1和myschema都可以包含叫做mytable的表。和数据库不同,模式不是严格分离的:一个用户可以访问他所连接的数据库中的任意模式中的对象,只要他有权限。     我们需要模式有以下几个主要原因:     1
PostgreSQL 权限解读
kmblack1的专栏
05-28 3543
1 public权限解读 用户默认情况下具有public权限,public默认具有创建和使用schema的权限,因此意味着可以在schema中创建对象(包括表)、列出schema中的对象,并在其权限允许时访问它们。 所以创建数据库schema完成后做的第一件事是 1.1 创建数据库完成后 --回收schemapublic权限 --revoke all on schema public from public; --正常情况使用这个 revoke all on schema public,tiger,ti
PostgreSQL 模式介绍_postgresql public,软件测试中高级面试必知必会
最新发布
2401_84281720的博客
04-17 1066
如果在搜索路径中没有匹配表,那么就报告一个错误,即使匹配表的名字在数据库其它的模式中存在也如此。通常情况下,创建和访问表的时候都不用指定模式,实际上这时访问的都是“public”模式。下面我们将要介绍另外一种方式,即通过role对象,直接登录并关联到myschema对象,之后便可以在myschema模式下直接创建各种所需的对象了。为了让用户使用模式中的对象,我们可能需要赋予额外的权限, 只要是适合该对象的。所以一般情况下,若创建的表默认没有指定模式,那都会在“public”模式下。
PostgreSQL教程(二):模式Schema详解
09-10
PostgreSQL是一种功能强大的开源关系型数据库管理系统,它支持多种高级特性,其中之一就是模式(Schema)。在PostgreSQL中,模式是一个组织数据库对象的逻辑结构,它允许用户在一个数据库中创建多个独立的命名空间,...
Laravel开发-laravel-postgres-extended-schema
08-28
在本文中,我们将深入探讨如何在Laravel框架中利用`laravel-postgres-extended-schema`扩展来增强PostgreSQL数据库的支持。Laravel是一个流行的PHP web应用框架,它以其优雅的语法和强大的功能受到开发者喜爱。而`...
Laravel开发-laravel-postgresql-inherit
08-28
Schema::create('parent_table', function (Blueprint $table) { // 父表列定义... }); DB::statement("CREATE TABLE child_table (LIKE parent_table INCLUDING ALL) INHERITS (parent_table);"); // 如果有...
Laravel开发-laravel-mongo-model-schema
08-28
在Laravel框架中,开发人员通常使用Eloquent ORM来处理关系型数据库,如MySQL或PostgreSQL。然而,随着NoSQL数据库的普及,特别是MongoDB,Laravel也提供了对非关系型数据库的支持。"Laravel开发-laravel-mongo-...
cpp-pgAudit开源PostgreSQL审核记录
08-16
GRANT USAGE ON SCHEMA public TO audit_role; ALTER SYSTEM SET pgaudit.log = 'ddl, function, statement'; ``` ### 4. 使用pgAudit pgAudit的日志记录可以通过PostgreSQL的标准日志系统进行,也可以配置为写入...
PostgreSQL】系列之 一 用户创建和授权(三)
康师傅没有眼泪
08-02 1万+
PG中,围绕角色进行权限的管理。它可以被看做是一个user,或一组user。区分role、user、group。user和group是PG 8.1之前的两个实体,role是那之后唯一存在的实体,现在user和role,等价。
PostgreSql 用户及权限管理
热门推荐
脑子进水养啥鱼?的博客
07-17 1万+
ALTER DEFAULT PRIVILEGES 允许设置将被应用于未来要创建的对象的特权(它不会影响分配给已经存在的对象的特权)。当前,只能修改用于模式、表(包括视图和外部表)、序列、函数和类型(包括域)的特权。其中,可设置权限的函数包括聚集函数和过程函数。当这个命令应用于函数时,单词 FUNCTIONS 和 ROUTINES 是等效的。(推荐使用 ROUTINES,因为它是用来囊括函数和过程的一个标准术语。在较早的 PostgreSQL 发行版中,只允许单词 FUNCTIONS。
Postgres创建表字段时有四种不同排序规则:information_schema、pg_catalog、pg_toast、public它们的含义和区别是什么?
元曦的博客
05-04 2764
pg_toast:它用于存储大型字段值(比如Text、Varchar、Bytea等),当字段的值太大无法存储在主表中时,则会将其存储到toast表中。pg_catalog:它是系统表的命名空间,存储了PostgreSQL中所有内置的数据类型、函数等系统对象的定义信息。public:它是用户自定义数据的存储命名空间,是默认的用户模式,所有用户创建的表都默认存储在public模式下。总之,这四种排序规则分别对应了不同层次的数据存储位置,是PostgreSQL中数据访问和管理的基础。
C:\Program Files\PostgreSQL\10\bin\pg_restore.exe --host "localhost" --port "5432" --username "postgres" --no-password --role "postgres" --dbname "HJMES" --verbose --schema "public" "C:\\Users\\ADMINI~1\\BP_MES~1.BAC"
06-07
这是一个用于恢复 PostgreSQL 数据库的命令,其中: --host:指定数据库服务器的主机名或 IP 地址。 --port:指定数据库服务器的端口号。 --username:指定登录数据库的用户名。 --no-password:禁止在命令行中输入密码。 --role:指定要使用的 PostgreSQL 角色。 --dbname:指定要恢复的数据库名称。 --verbose:启用详细输出模式。 --schema:指定要恢复的模式名称。 最后一个参数是要恢复的数据库文件的路径和名称。在这个例子中,文件名是“BP_MES~1.BAC”,它位于用户目录下的“C:\Users\ADMINI~1\”文件夹中。 请注意,这个命令只是用于恢复数据库文件,如果您需要备份数据库,请使用pg_dump命令。同时,在执行这个命令之前,请确保已经创建了一个空数据库,因为恢复操作将覆盖该数据库中的所有数据。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值