pg(hgdb)权限实验

最新推荐文章于 2024-11-17 11:54:21 发布
原创 最新推荐文章于 2024-11-17 11:54:21 发布 · 1.1k 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文通过实例演示了在PostgreSQL中创建用户和角色,并详细解释了如何通过GRANT和REVOKE命令来控制用户对数据库对象(如表和模式)的访问权限。实验展示了即使用户被授予表的SELECT权限,如果没有相应模式的USAGE权限,也无法访问该模式下的对象。最后,讨论了如何通过赋予或撤销对整个schema的使用权来进一步限制用户操作。
创建用户的语句为:
CREATE ROLE guest LOGIN NOSUPERUSER INHERIT NOCREATEDB NOCREATEROLE NOREPLICATION;
注意上述Role guest拥有LOGIN的权限,所以叫它用户。


创建角色的语句为:
CREATE ROLE "group" NOSUPERUSER INHERIT NOCREATEDB NOCREATEROLE NOREPLICATION;
注意这里没有LOGIN权限,所以是角色。


上述角色和用户的创建语句中,都没有赋予超级用户、创建数据库等权限。


怎么样控制登录用户操作数据库对象的权限呢?
答案是让用户成为角色的成员,此时用户即可拥有角色的权限,进一步限制了登录用户操作数据库对象的权限。
如把上述角色group赋予guest用户:
GRANT "group" TO guest;
之后,guest用户就拥有了group角色所拥有的数据库对象权限。
==============================================================================
highgo=# \c
You are now connected to database "highgo" as user "highgo".
highgo=# \du
                             List of roles
 Role name |                   Attributes                   | Member of 
-----------+------------------------------------------------+-----------
 highgo    | Superuser, Create role, Create DB, Replication | {}
 
highgo=# create schema a;
CREATE SCHEMA
highgo=# create schema b;
CREATE SCHEMA


highgo=# create role a login password 'highgo123';
CREATE ROLE
highgo=# create role b login password 'highgo123';
CREATE ROLE
highgo=# alter schema a owner to a;
ALTER SCHEMA


highgo=# alter schema b owner to b;
ALTER SCHEMA


highgo=# create table a.test (id int);
CREATE TABLE
highgo=# insert into a.test values (1);
INSERT 0 1
highgo=# create table b.test (id int);
CREATE TABLE
highgo=# insert into b.test values (2);
INSERT 0 1


highgo=> \c
You are now connected to database "highgo" as user "a".
highgo=> select * from test;
错误:  对关系 test 权限不够
highgo=> select * from a.test;
错误:  对关系 test 权限不够
highgo=> select * from b.test;
错误:  对模式 b 权限不够
LINE 1: select * from b.test;
                      ^
 
highgo=# \c
You are now connected to database "highgo" as user "highgo". 
highgo=# grant select on a.test to a;
GRANT


highgo=> \c
You are now connected to database "highgo" as user "a".
highgo=> select * from a.test;
 id 
----
  1
(1 row)
highgo=> \c
You are now connected to database "highgo" as user "b".
highgo=> select * from a.test;
错误
最低0.47元/天 解锁文章
pg数据库 粗粒度权限管理实践
n2_bnxf的博客
07-01 1436
权限管控的核心是定义 ACL,粗粒度管控是通过 Schema 授权实现。新创建表如何自动授权给他人使用?
pg/og数据库权限管理详情1
zyjzyjjyzjyz的博客
11-18 812
pg/og中,围绕角色进行权限的管理,它可以被看作时一个user或者一组user。区分role、user、group。user和group是pg8.1之前的两个实体,role是那之后唯一存在的实体。现在user和role等价。
PostgreSQL创建只读用户
lk的窝
10-16 4880
首先需要执行下面的SQL语句: revoke create on schema public from public; 这是因为在PG中默认任何用户都可以在名称为public的schema中创建表,而只读用户是不允许创建表的,所以先要把这个权限回收。 创建名称为readonly的只读用户: create user readonly with password 'query'; 然
postgresql数据库对象管理之非模式对象
treacle田 --love work and life......
04-21 1528
数据库对象管理之非模式对象 数据库对象:表,索引,视图,图表,缺省值,规则,触发器,语法等。所有在数据库中的一切,都可以被称为数据库对象。 按照一般划分,数据库对象分为模式对象和非模式对象 模式对象:特定数据库对象的集合。如:表、索引等。 非模式对象:其他数据库对象。如用户、权限、表空间等 一非模式对象及相关 1用户与角色 (1)用户(user):用户用来访问和管理数据库,具有
国产数据库之金仓 | 5-对象的访问权限
wjy的博客
11-17 1895
本文总结了数据库对象访问权限的核心知识点,主要包含以下内容:1)数据库对象分为模式对象(如表、视图等)和非模式对象(如数据库、用户等);2)对象初始仅所有者可操作,其他用户需被授权;3)详细介绍了使用GRANT和REVOKE语句对数据库、模式、表、列等对象进行授权和撤销权限的语法;4)列举了常见权限的符号表示及其含义(如r表示SELECT查询权限)。文章系统性地讲解了数据库权限管理的核心概念和操作方法。
核心系统用PG了,抠脑壳的权限,搞晕了!
IT邦德
09-12 1139
分享一些技能给大家,别让PG权限再把大家绕进去了!
pghgdb)执行sql脚本方式
lk的窝
10-11 3453
[highgo@hg ~]$ cat a.sql  select * from test_a; [highgo@hg ~]$ psql -f a.sql    --psql连接时执行 Password:   id | name  ----+------   1 | a   2 | b   3 | c   4 | d   5 | e (5 rows) [highg
PGHGDB)支持在同一个insert语句中插入多行数据
lk的窝
10-11 2608
a=# create table t (name varchar(10)); CREATE TABLE Time: 50.938 ms a=# a=# insert into t values (';'); INSERT 0 1 Time: 4.312 ms a=# insert into t values (';'),(';;'); INSERT 0 2 Time: 3.7
PG数据库用户权限管理
热门推荐
eagle89的专栏
01-04 2万+
创建用户/角色 CREATE USER/ROLE name [ [ WITH ] option [ ... ] ] : 关键词 USER,ROLE; name 用户或角色名; where option can be: SUPERUSER | NOSUPERUSER :超级权限,拥有所有权限,默认nosuperuser。 | CREATEDB | NOCREATEDB :建库权限,默认nocreatedb。 | CREATEROLE | NOCREA
[译]PostgreSQL15 public shema权限增强
帅的数说
09-11 1095
PostgreSQL 15对用户权限这块进行了增强。默认情况下,不再设置public schema的CREATE权限。2021年9月,PG15的版本提交了一个patch:默认情况下不再设置public schema的CREATE权限。该建议来自:https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-1058。Commit为:https://...
HGDB权限管理
HighGO
01-16 1838
本文内容主要是在HGDB V4.1.1环境验证,同样适用于Postgresql 9.5环境。 1.创建用户时设定属性或修改用户的属性,属性内容包含一定的数据库权限 基本语法格式 CREATE ROLE role_name WITH optional_permissions; ALTER ROLE username WITH attribute_options; 常
苹果cmsV10模板提示权限不足解决办法
苹果cms资源
03-05 5618
使用苹果cmsV10模板的过程中,如果你有遇到以下情况,可参考解决 1、提示 模板文件存在:public\jump.html,或者提示 权限不足。 这种情况是苹果cms新加了分类,但是没有修改权限造成的。 解决办法:找到用户组,修改游客权限,全部勾选后保存 免费模板和教程到 苹果cms资源网 获取! ...
usage权限的使用与管理
HighGO
12-31 4108
目录 文档用途 详细信息 文档用途 了解usage权限的使用与管理 详细信息 场景1 :只授权usage on schema 权限 session 1: --创建test用户,并将highgo模式赋予test用户。 highgo=# create user test with password 'password'; CREATE ROLE highgo=# grant USAGE on SCHEMA highgo to test ; GRANT ..
HGDB 创建只读用户
HighGO
08-16 2453
目录 文档用途 详细信息 相关文档 文档用途 本文用于简单介绍如何在 HGDB 中创建只读用户. 环境: HGDB 企业版 V5.6.4 详细信息 以超级用户highgo登录数据库,创建用户: highgo=# create user read_only with password ‘read’; CREATE ROLE 2. 设置为只读的transaction: highgo=# alter user read_only set default_transaction_read_only&n
postgreSQL数据库备份与还原
zhu_zhu_xia的博客
11-04 1781
备份: pg_dump -h 127.0.0.1 -p 5432 -U postgres -d test -f D:\test.bak 还原: psql -h 127.0.0.1 -p 5432 -U postgres -d test -f D:\test.bak
Postgres schema间对象的访问操作权限
lk的窝
10-28 4808
schema间对象的访问操作权限 (1)使用超级用户highgo登录数据库,创建测试schema a和b,并创建测试表a.at和b.bt highgo=#\du                              List of roles  Role name |                   Attributes                   | Member of
vastbase分配pg_namespace权限
最新发布
07-11
<think>我们正在讨论的是Vastbase数据库(兼容PostgreSQL)中关于`pg_namespace`权限的授予问题。在PostgreSQL中,`pg_namespace`是系统表,存储了所有模式(schema)的信息。直接操作该系统表是不推荐的,而应该使用标准的SQL权限命令。 用户需求:在Vastbase中授予用户对`pg_namespace`的权限。 注意:在PostgreSQL/Vastbase中,我们通常不直接对`pg_namespace`表进行授权,因为它是系统表。但是,我们可以通过授予用户对特定模式(schema)的权限来间接实现。如果用户需要查询`pg_namespace`表,那么需要授予用户对该系统表的SELECT权限,但这通常只对超级用户开放,一般不建议这么做。 ### 正确理解需求 用户可能想要: 1. 授予用户创建模式权限(CREATE权限) 2. 授予用户对特定模式的使用权限(USAGE权限) 3. 授予用户对特定模式下对象的操作权限(如SELECT, INSERT等) 4. 或者,用户可能想要允许用户查看系统表`pg_namespace`(需要SELECT权限) ### 安全建议 - 直接对系统表授权(如`pg_namespace`)是非常危险的,通常只应由超级用户执行,且生产环境应避免。 - 推荐使用标准的模式权限管理命令。 ### 解决方案 #### 1. 授予创建模式权限 如果用户需要创建新的模式,可以授予数据库的CREATE权限: ```sql -- 授予用户创建模式权限(在数据库级别) GRANT CREATE ON DATABASE your_database TO your_user; ``` #### 2. 授予对现有模式的使用权限 ```sql -- 授予用户对特定模式的使用权限(USAGE) GRANT USAGE ON SCHEMA your_schema TO your_user; ``` #### 3. 授予对模式中对象的操作权限 ```sql -- 授予用户对特定模式中所有表的SELECT权限 GRANT SELECT ON ALL TABLES IN SCHEMA your_schema TO your_user; ``` #### 4. (不推荐)直接授予对pg_namespace表的查询权限 如果确实需要让普通用户能够查询`pg_namespace`系统表(通常不推荐,因为包含系统信息),可以: ```sql -- 将系统表pg_namespace的SELECT权限授予给用户 GRANT SELECT ON pg_namespace TO your_user; ``` ### 批量操作(适用于海量数据库) 如果需要在多个数据库或模式上进行操作,可以使用脚本(例如Python)批量执行。 ### 注意事项 - Vastbase与PostgreSQL在权限管理上高度兼容,上述命令在Vastbase中同样适用。 - 系统表权限的授予应极其谨慎,避免泄露敏感信息。 ### 相关问题 1. 在Vastbase中如何撤销对系统表的权限? 2. 如何批量授予用户对多个模式的USAGE权限? 3. Vastbase中如何查看用户对模式拥有的权限? 4. 授予用户CREATE权限后,用户能否修改系统模式? 5. Vastbase中系统表权限管理与PostgreSQL有哪些差异? [^1]: Vastbase官方文档建议使用标准的GRANT/REVOKE命令管理权限,直接操作系统表可能导致不可预知的结果。</think>在 Vastbase(兼容 PostgreSQL 的国产数据库)中授予用户 `pg_namespace` 权限时,**切勿直接操作系统表**,应使用标准 SQL 权限命令。以下是安全操作指南: --- ### ✅ 正确授权步骤(Vastbase G100 适用) #### 1. **授予模式操作权限(核心命令)** ```sql -- 授予用户对特定模式的 USAGE 权限(访问权限) GRANT USAGE ON SCHEMA schema_name TO user_name; -- 授予用户对模式内对象的操作权限(需分开执行) GRANT SELECT ON ALL TABLES IN SCHEMA schema_name TO user_name; -- 读权限 GRANT INSERT, UPDATE ON ALL TABLES IN SCHEMA schema_name TO user_name; -- 写权限 ``` #### 2. **授予系统表查看权限(谨慎操作)** 若需允许用户查看 `pg_namespace` 系统表(存储模式元数据): ```sql -- 将系统表查询权限授予用户 GRANT SELECT ON pg_catalog.pg_namespace TO user_name; -- 验证权限(管理员执行) SELECT has_table_privilege('user_name', 'pg_namespace', 'SELECT'); ``` #### 3. **批量授权脚本(Python 示例)** ```python import vastbase # 或 psycopg2 连接 Vastbase conn = vastbase.connect("dbname=postgres user=admin") cursor = conn.cursor() schemas = ["public", "sales", "hr"] # 需授权的模式列表 for schema in schemas: cursor.execute(f"GRANT USAGE ON SCHEMA {schema} TO analyst_role;") cursor.execute(f"GRANT SELECT ON ALL TABLES IN SCHEMA {schema} TO analyst_role;") conn.commit() ``` --- ### ⚠️ 关键注意事项 1. **权限层级规则** - 模式权限 `USAGE` 是访问模式内对象的**前置条件**[^1] - 对象权限(SELECT/INSERT 等)需**单独授予** ```mermaid graph LR A[用户] --> B[数据库CONNECT权限] B --> C[模式USAGE权限] C --> D[表SELECT权限] ``` 2. **系统表风险** 直接操作 `pg_namespace` 可能导致: - 系统目录损坏引发数据库崩溃 - 权限信息与其他系统视图(如 `information_schema.schemata`)不一致 - 安全漏洞(暴露敏感元数据) 3. **Vastbase 特性** - 企业版支持 `GRANT ON ALL SCHEMAS` 语法(需确认版本) - 安全增强模式下可能限制系统表访问 --- ### 🔍 权限验证命令 ```sql -- 查看用户拥有的模式权限 SELECT nspname, nspacl FROM pg_namespace WHERE has_schema_privilege('user_name', nspname, 'USAGE'); -- 检查系统表权限 SELECT * FROM pg_catalog.pg_privileges WHERE relname = 'pg_namespace' AND grantee = 'user_name'; ``` --- ### 📚 最佳实践建议 1. **最小权限原则** 仅授予必要权限,例如只读用户只需: ```sql GRANT USAGE ON SCHEMA public TO reader; GRANT SELECT ON ALL TABLES IN SCHEMA public TO reader; ``` 2. **角色继承管理** ```sql CREATE ROLE schema_admin; GRANT CREATE, USAGE ON SCHEMA critical TO schema_admin; -- 继承给具体用户 GRANT schema_admin TO user1; ``` 3. **权限回收** ```sql REVOKE SELECT ON pg_namespace FROM user_name; REVOKE USAGE ON SCHEMA schema_name FROM user_name; ``` --- ### 相关问题 1. 如何在 Vastbase 中批量撤销多个模式权限? 2. Vastbase 与 PostgreSQL 在系统表权限管理上有哪些差异? 3. 如何审计 Vastbase 中所有用户对 `pg_namespace` 的访问权限? 4. Vastbase 的安全加固模式如何影响系统表授权? 5. 模式权限继承在复杂业务场景中如何优化管理? [^1]: Vastbase 官方文档明确指出:模式 `USAGE` 权限是访问其内部对象的必要前提,直接操作系统表可能导致不可恢复的错误。
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值