提高postgresql安全性(一、关于权限)

最新推荐文章于 2025-09-13 08:42:31 发布
原创 最新推荐文章于 2025-09-13 08:42:31 发布 · 933 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#数据库 #postgresql #sql

这篇博客探讨了PostgreSQL10中的权限设置,包括默认情况下数据库和函数的访问权限,以及如何通过ALTER DEFAULT PRIVILEGES修改默认权限。重点介绍了如何使用REVOKE和GRANT命令来增强安全性,比如限制公共用户对数据库、表和函数的访问,并强调了对public的理解。同时,提出了保护函数代码的方法,通过REVOKE权限防止未授权访问。

以下讨论以postgresql 10版本为例
关于权限:

  1. 如果没有授权,默认情况下:所有表、schema都无法读取,但数据库任何用户都可以连接,函数任何用户可以执行。默认权限可用 ALTER DEFAULT PRIVILEGES进行修改,但修改默认权限只是对新建的对象起作用,对已建立的对象不起作用。
  2. 默认情况下,数据库任何人都可以连接,若要提高安全性,需用 REVOKE  ALL ON DATABASE .. FROM PUBLIC,  再对特定的用户一个个授权。除此外,也可以通过pg_hba.conf 来限定特定的用户才可连接。
  3. 默认情况下,函数任何人都可以执行,对于SECURITY INVOKER函数(默认情况下), 因为执行还受执行者权限限制,若对某表无权限,函数也无法执行下去,而对SECURITY DEFINER 函数(带S标志,执行者拥有定义者权限)一定要需用 REVOKE  ALL ON FUNCTION .. FROM PUBLIC,  再对特定的用户一个个授权。
  4. 所有函数都是任何用户可读,没有REVOKE语句可防止函数被读,这十分不利于保护自己写的函数代码,但可以用以下语句进行限定 
    REVOKE ALL ON pg_catalog.pg_proc FROM public;
REVOKE all on function pg_catalog.pg_get_functiondef from public;
    所有的函数都读取不了,只有超级用户和 函数拥有者可读取。
  5. 对public的理解:public并不指“所有用户“,而是指"除目前已授权用户外的所有用户", 如 
    - 授权语句
grant all on table xxx to abc;

-- 解除授权语句
revoke all on table xxx from public; -- public 不能解除abc用户的权限

revoke all on table xxx from abc; -- 必须再加上这条解除授权语句

PostgreSQL 安全纵深防御:从权限到加密
在技术的广袤天地里,本博客如精准罗盘。剖析前沿科技,深掘代码奥秘,以精炼笔触,带您穿越复杂技术迷宫,速达知识彼岸。
06-02 2917
PostgreSQL安全纵深防御体系解析》摘要 PostgreSQL作为企业级开源数据库,其安全机制包含四大核心:角色权限、行级安全(RLS)、传输加密和审计追踪。文章深度剖析权限管理的三层架构(角色-对象-列级权限),通过金融案例展示GRANT/REVOKE实战技巧;详解RLS在多租户场景下的应用,包括医疗数据的医生-患者隔离策略;同时提供性能优化方案,如策略索引和BYPASSRLS权限。全文构建从宏观权限到微观数据控制的立体防御体系,并强调最小权限原则和审计追踪的关键作用,为高敏感数据环境提供企业级安
PostgreSQL】守护城堡:PostgreSQL用户管理与安全性强化
weixin_43298211的博客
06-28 959
数据备份与恢复策略是应对灾难性事件,保护数据不丢失的重要措施。
PostgreSQL安全最佳实践
MachineGunJoe666
04-27 851
数据库是黑客眼中的“圣杯”,需要我们像对待“花朵”样精心呵护它。本文主要介绍数据库保护的最佳实践。首先,从最常用的开源数据库PostgreSQL开始,我们将介绍诸位需要考虑的几个安全层级: PostgreSQL中网络层的安全 防火墙 理想情况下,PostgreSQL服务器应当是完全隔离,不允许任何入站申请、SSH或psql的。然而,PostgreSQL没有对这类网闸设置提供开箱即用的支持。 我们最多也只能通过设置防火墙,锁定数据库所在节点的端口级访问来提升数据库服务器的安全性。默认情况下,Post.
PostgreSQL数据库安全
snail_aaa的专栏
05-17 1689
 http://www.wohedb.com/db_html_doc/administrator_guide/adm_2_security.htmhttp://www.wohedb.com  中文数据库管理系统第二章 数据库安全  PostgreSQL实现了基于角色的存取控制机制。角色是权限的集合。可以将权限赋给用户,也可以将权限赋给角色。可以将角色赋给个用户,该
安全加固:启动PostgreSQL 14服务器SSL加密的方法指南在CentOS 7环境中
最新发布
wuk998的博客
09-13 350
需要在PostgreSQL数据目录下生成SSL证书和密钥。默认的PostgreSQL数据目录通常在。确保启用了SSL,并指定了证书和密钥的位置(如果你的证书和密钥位于默认目录,在这个过程中,你会被询问有关证书的信息,如组织名称和位置。来强制使用TCP连接而非默认的UNIX socket,如果出现 Postgres 提示符,表明SSL连接成功。命令行工具测试SSL连接,可以使用参数。编辑PostgreSQL的主配置文件。是推荐的密码验证方法。
postgres 安全
weixin_34294649的博客
12-31 115
2019独角兽企业重金招聘Python工程师标准>>> ...
PostgreSQL安全指南 - Postgres2015全国用户大会--重磅嘉宾佳作分享(周正中)
postgrechina的博客
11-11 3103
Postgres2015全国用户大会将于11月20至21日在北京丽亭华苑酒店召开。 报名链接:http://postgres2015.eventdove.com/  本期热点嘉宾:周正中(网名德哥) PostgreSQL 中国社区发起人之,社区CTO。PostgreSQL中国社区杭州分会会长。PostgreSQL中国社区大学发起人之。DBA+社群联合发起
PostgreSQL 为适配等保测评要求的安全性配置方法汇总(Linux&Windows)
long15415590的专栏
03-21 4407
针对以上几条要求,从网上查找资料以及自己的尝试,基本解决了问题。(1)登陆navicat,创建查询,建立个其他超级用户postgres1(2)用postgres1登陆navicat,创建查询,修改postgres名称用以下语句生成自动延期90天的修改语句(3)删除postgres1。
PostgreSQL 安全性权限管理(八)
技术学习与分享
06-25 682
通过以上内容,读者可以学习如何有效地管理 PostgreSQL 数据库安全性权限,保护数据库免受潜在的威胁和攻击,确保数据的保密性、完整性和可用性。使用监控工具(如 pg_stat_statements、pg_activity)监视数据库活动和性能。在 PostgreSQL 中,角色可以是用户或组的抽象概念,用于管理数据库的访问权限。使用 SSL/TLS 加密保护数据库连接,防止数据在传输过程中被窃听或篡改。用户是具体的数据库登录实体,可以登录到数据库并执行操作。提供额外的加密功能,保护敏感数据。
PostgreSQL】运维篇——PostgreSQL数据库安全性措施
thinking_chou的专栏
10-08 1623
PostgreSQL提供了多种安全性措施,包括加密、审计、访问控制和网络安全。帮助企业保护数据,确保数据库安全性和合规性。通过合理配置和实施安全策略,有效降低数据泄露和未授权访问的风险,确保其数据库系统的安全运行。希望通过以上讨论,能够更好地理解PostgreSQL安全性措施,并在实际应用中加以实施。
设置CA证书来强化PostgreSQL安全性的教程
09-10
总的来说,设置CA证书强化PostgreSQL安全性项涉及多个步骤的过程,但这样做能有效提升数据库服务的安全等级,防止未授权访问和数据泄露。记住,安全总是需要权衡便利性,因此在设置过程中要确保所有关键步骤都...
PostgreSQL sql语句:创建用户,创建数据库,用户授权
09-15
PostgreSQL sql语句:创建用户,创建数据库,用户授权
如何为Postgres数据库设置安全的访问控制和权限管理
发现生活,分享智慧,一起成长!
04-18 1584
通过使用角色和权限管理、配置认证方法、网络访问控制以及定期审查和更新权限,我们可以为PostgreSQL数据库设置安全的访问控制和权限管理。这些措施有助于保护数据库免受未经授权的访问和潜在的安全威胁。在实际应用中,我们应根据具体的安全需求和业务场景,选择合适的配置和策略,以确保数据库安全性。相关阅读推荐如何配置Postgres的自动扩展功能以应对数据增长如何通过Postgres的日志进行故障排查如何使用Postgres的JSONB数据类型进行高效查询。
postgresql 授权
kangseung的博客
11-28 1299
I ended up here because my DB user saw only a few tables and not the newer ones. If this is your case, this has helped me.Grant privileges to all existing tables: Grant privileges to all new tables to be created in future (via default privileges):
select也要小心——PostgreSQL security invoker函数带来的安全隐患
Focus on PostgreSQL
03-20 2685
pg中创建函数时可以指定权限检测,有两个可选参数:SECURITY INVOKER和SECURITY DEFINER。 SECURITY INVOKER:表示要用调用该函数的用户的特权来执行它。这是默认值。 SECURITY DEFINER:指定要用拥有该函数的用户的特权来执行该函数。 比如我们使用普通用户创建了个调用者权限的函数,那么当超级用户调用这个函数时,就会以超级用户的权限来执行,这就会...
PostgreSQL学习手册(数据表)
Tony的专栏
11-16 772
、表的定义:     对于任何种关系型数据库而言,表都是数据存储的最核心、最基础的对象单元。现在就让我们从这里起步吧。     1. 创建表:     CREATE TABLE products (         product_no integer,         name text,         price numeric     );          2.
oracle 授权
有一种坚持就作不放弃
04-23 713
--select * from dba_users; 查询数据库中的所有用户   --alter user TEST_SELECT account lock; 锁住用户   --alter user TEST_SELECT account unlock; 给用户解锁   --create user xujin identified by   xujin; 建立用户   --grant cr...
Oracle数据库各用户间表访问
AndroidOrCsharp
02-25 4712
Oracle数据库个用户的概念,我把不同的用户理解为不同的库。 简单来说,我把交易库称为TRADE用户,我把客户管理的库成为ACCOUNT用户。 正常情况下,每个用户访问自己对应的表,但是当需要跨用户访问时,我们就有三个选择。 .交易库赋予客户库查询交易表权限,我们称之为授权,关键字为grant。 现在我们模拟从A用户,把ableName的操作权限赋予B用户,以下授权语句应该在A库执行。 1. SELECT * FROM dba_users; --查询数据库中的所有用户 2.GRANT .
postgres 授权
星星的博客
07-26 1761
关闭数据库所有连接 SELECT pg_terminate_backend(pid) FROM pg_stat_activity WHERE datname='数据库名' AND pid<>pg_backend_pid();  授权数据库 grant all on database basiclawdev to fescorocktest; 授权schema grant us...
PostgreSQL安全性强化基线:使用InSpec配置文件实施
通过使用DevSec PostgreSQL基线-InSpec配置文件,数据库管理员和安全专家可以对PostgreSQL数据库执行自动化合规性测试,快速验证配置是否符合特定的安全标准,从而维护数据库环境的安全性。这些测试可以集成到持续...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

trainee

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值