LinuxOracleWf 2009-12-30
数据库安全性是如今基于 Web 的应用程序面对的最大挑战。如果不加以控制,您将面临公司敏感信息被曝光的风险,更糟糕的是,珍贵的客户信息也将面临被泄露的风险。在本文中,了解可以用来保护您的 PostgreSQL 数据库的安全措施。
简介
报纸上经常出现黑客袭击企业数据库的报道。大多数攻击由叛逆的未成年人发起的日子已经一去不复返。如今,数据收集成为了一项重要的事业,并且由在企业基础设施中工作的专家专门负责。问题已经不再是您如何 阻止未授权的访问企图 — 您无法阻止 — 而在于您在发生这种情况时如何降低 影响。
本文讨论了在保护您的 PostgreSQL(也称为 Postgres)数据库服务器时遇到的挑战。PostgreSQL 是一款强大的开源对象-关系数据库系统。它拥有一个可靠的架构并以可靠性、数据完整性和准确性著称。它运行在所有主流操作系统之上,包括 Linux?、UNIX? 和 Windows?。它与 ACID 完全兼容,并且充分支持外键、连接、视图、触发器和存储过程(支持多种语言)。
理想的管理员
在传统的 UNIX 中,PostgreSQL 被进行了重新设计来补充它所依附的操作系统。要最大限度地发掘 PostgreSQL 的价值,所需要的知识超过了一般数据库管理员(DBA)所要求具备的技能。
简单来说,一名合格的 PostgreSQL DBA 需要具备以下背景:
?了解关系理论并熟悉 SQL'92, '99, 和 2003。
?知道如何阅读源代码,特别是 C 代码,并且能够在 Linux 上编译源代码。
?能够管理系统并熟悉 system-V UNIX 或 Linux。
?能够维护(如果需要的话)IT 组织中出现的各种典型硬件项目。理解 TCP OS 层,能够将网络分为子网,调优防火墙,等等。
许 多 DBA 只具备管理、监控和调优数据库本身的技能。然而,PostgreSQL 在构建时也考虑了 OS 工具。当然,很少有 DBA 精通所有学科的知识,但是拥有这些知识使 PostgreSQL DBA 能够用更少的时间完成更多的工作,而通过其他方式是无法办到的。
访问权限回顾
如果您要了解可能的攻击媒介(attack vector),那么了解数据库角色的作用是非常重要的。首先,您需要通过授予和撤销权限来控制对数据的访问。
角色、授予权限和特权
一个具有默认权限和特权的普通角色的安全性究竟如何?用户帐户可以通过以下命令的其中之一创建:
?SQL 语句 CREATE USER
?SQL 语句 CREATE ROLE
?Postgres 命令行实用程序 createuser
这三种创建用户帐户的方法表现出不同的行为,并导致产生截然不同的默认权限和特权。
对于一个普通角色,典型的用户可以执行下面的操作:
?如果数据集群使用如 pg_hba.conf 中描述的默认身份验证策略,那么用户可以访问任何数据库。
?在用户可以访问的任何数据库的 PUBLIC 模式中创建对象。
?在临时会话中创建会话(临时)对象,比如模式 pg_temp_?
?修改运行时参数。
?创建用户定义函数
?执行在 PUBLIC 模式中由其他用户创建的用户定义函数(只要处理的是用户有权访问的对象 。
一定要清楚用户所具有的权限,但是,了解普通用户在默认情况下不可以做什么也同样重要。普通用户无权执行以下操作:
?创建数据库或模式。
?创建其他用户。
?访问由其他用户创建的对象。
?登录(只适合语句 CREATE ROLE)。
超级用户权限和特权
尽管普通用户无权执行被定义为超级用户功能的权限和特权,但是普通用户仍然会引起一些与默认权限和特权有关的问题。
本文将讨论一些可由普通用户操作的攻击媒介。
访问对象
一项极其常见且不太安全的实践发生在将 PostgreSQL 用作 Web 服务器的后端时。开发人员创建普通用户的目的只是让其使用 INSERT、UPDATE 和 DELETE 命令来执行数据操作命令。然而,未经授权的操作也可能会被执行,因为 PUBLIC 模式是公开给所有人的。例如,用户可以对这些表进行数据挖掘。甚至还可以对表进行修改:添加规则和触发器、将数据保存到 PUBLIC 模式中的表,随后这些数据就会被收集。
记住,一个被盗用的用户帐户可以对它所拥有的对象做任何事情。