PostgreSQL 9.4 patch : Row-Level Security

最新推荐文章于 2025-08-22 20:35:20 发布
最新推荐文章于 2025-08-22 20:35:20 发布
阅读量202 收藏
点赞数
CC 4.0 BY-SA版权
文章标签: runtime 数据库 git
原文链接:https://yq.aliyun.com/articles/14729
介绍 PostgreSQL 9.4 中即将发布的行级安全(RLS)特性,该特性允许对不同用户显示不同的行数据,同时保持查询优化,适用于需要精细访问控制的应用场景。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

前段时间写过一篇关于使用视图来提供行级别的数据保护, 当创建视图时如果未使用security_barriers, 那么这个视图是不安全的, 攻击者可以利用低成本函数打印出隐藏的基表数据. 使用security_barriers可以规避这个问题, 但是牺牲了SQL优化器的作用, 查询将会变成seq scan, 全表扫描.
感兴趣的朋友可以参见如下BLOG : 
本文讲述的是将要在9.4发布的行级别安全补丁RLS. 在数据保护方面和视图效果一样, 同时不会有security_barriers带来的弊端.
这个补丁尚未提交, 所以安装时需要注意.
首先下载一个PostgreSQL devel版本. 补丁在处理nodeFuncs.c时目前有点小问题, 使用以下snapshot可以正常打补丁.
下载补丁文件 : 
wget http://www.postgresql.org/message-id/attachment/29700/pgsql-v9.4-row-level-security.v3b.patch

打补丁
 
tar -zxvf postgresql-10a509d.tar.gz
cd postgresql-10a509d
patch -p1 < ./pgsql-v9.4-row-level-security.v3b.patch

安装
 
./configure --prefix=/home/pg94/pgsql9.4devel --with-pgport=1921 --with-perl --with-tcl --with-python --with-openssl --with-pam --without-ldap --with-libxml --with-libxslt --enable-thread-safety --with-wal-blocksize=16 && gmake && gmake install

初始化数据库
 
initdb -E UTF8 -D $PGDATA --locale=C -W -U postgres
pg_ctl start

语法
 
ALTER TABLE 
    SET ROW SECURITY FOR rowsec_command TO (condition)
    RESET ROW SECURITY FOR rowsec_command
and rowsec_command is:
    { ALL | SELECT | INSERT | UPDATE | DELETE }

测试 : 
创建测试表 
digoal=# create table test (id int, info text);
CREATE TABLE
digoal=# insert into test select generate_series(1,1000), md5(random()::text);
INSERT 0 1000

设置行安全策略
 
digoal=# alter table test SET ROW SECURITY FOR select TO (id<=999);
ERROR:  0A000: Row-security for "select" is not implemented yet
LOCATION:  ATExecSetRowSecurity, pg_rowsecurity.c:305
digoal=# alter table test SET ROW SECURITY FOR insert TO (id<=999);
ERROR:  0A000: Row-security for "insert" is not implemented yet
LOCATION:  ATExecSetRowSecurity, pg_rowsecurity.c:305
digoal=# alter table test SET ROW SECURITY FOR update TO (id<=999);
ERROR:  0A000: Row-security for "update" is not implemented yet
LOCATION:  ATExecSetRowSecurity, pg_rowsecurity.c:305
digoal=# alter table test SET ROW SECURITY FOR delete TO (id<=999);
ERROR:  0A000: Row-security for "delete" is not implemented yet
LOCATION:  ATExecSetRowSecurity, pg_rowsecurity.c:305

目前只支持all commands.
 
digoal=# alter table test SET ROW SECURITY FOR all TO (id<=999);
ALTER TABLE

超级用户不受限制.
 
digoal=# select * from test  where id>=998;
  id  |               info               
------+----------------------------------
  998 | 7177340c488270f432b1476d001f3b9d
  999 | a609aef006b1147dad10f3e43993dfea
 1000 | c7fa1acdd43d442be5a940c9f7091abc
(3 rows)
digoal=# create role digoal nosuperuser nocreatedb login encrypted password 'digoal';
CREATE ROLE
digoal=# grant select on test to digoal;
GRANT

普通用户受到安全限制. id=1000的不会查出来.
 
digoal=# \c digoal digoal
You are now connected to database "digoal" as user "digoal".
digoal=> select * from test  where id>=998;
 id  |               info               
-----+----------------------------------
 998 | 7177340c488270f432b1476d001f3b9d
 999 | a609aef006b1147dad10f3e43993dfea
(2 rows)

从执行计划可以看到已经自动增加了安全限制条件id<=999
 
digoal=> explain analyze select * from test  where id>=998;
                                           QUERY PLAN                                           
------------------------------------------------------------------------------------------------
 Seq Scan on test  (cost=0.00..24.00 rows=1 width=37) (actual time=0.271..0.271 rows=2 loops=1)
   Filter: ((id <= 999) AND (id >= 998))
   Rows Removed by Filter: 998
 Total runtime: 0.308 ms
(4 rows)

使用RLS不会像视图的security_barriers那样无法使用优化器. 所以索引是有效的.
 
digoal=> \c digoal postgres
You are now connected to database "digoal" as user "postgres".
digoal=# create index idx_test_1 on test(id);
CREATE INDEX
digoal=# \c digoal digoal
You are now connected to database "digoal" as user "digoal".
digoal=> explain analyze select * from test  where id>=998;
                                                    QUERY PLAN                                                    
------------------------------------------------------------------------------------------------------------------
 Index Scan using idx_test_1 on test  (cost=0.28..2.29 rows=1 width=37) (actual time=0.007..0.008 rows=2 loops=1)
   Index Cond: ((id <= 999) AND (id >= 998))
 Total runtime: 0.065 ms
(3 rows)

attack测试 : 
 
digoal=# \c digoal digoal
You are now connected to database "digoal" as user "digoal".
digoal=> create or replace function attack(test) returns boolean as $$
digoal$> declare
digoal$> begin
digoal$>   raise notice '%', $1;
digoal$>   return true;
digoal$> 
digoal$> end;
digoal$> $$ language plpgsql strict cost 0.000000000000001;
CREATE FUNCTION
digoal=> select * from test where id>997 and attack(test);
NOTICE:  (998,7177340c488270f432b1476d001f3b9d)
NOTICE:  (999,a609aef006b1147dad10f3e43993dfea)
 id  |               info               
-----+----------------------------------
 998 | 7177340c488270f432b1476d001f3b9d
 999 | a609aef006b1147dad10f3e43993dfea
(2 rows)
digoal=> explain analyze verbose select * from test where id>997 and attack(test);
NOTICE:  (998,7177340c488270f432b1476d001f3b9d)
NOTICE:  (999,a609aef006b1147dad10f3e43993dfea)
                                                              QUERY PLAN                                                            
  
------------------------------------------------------------------------------------------------------------------------------------
--
 Subquery Scan on test  (cost=0.28..2.33 rows=1 width=37) (actual time=0.113..0.138 rows=2 loops=1)
   Output: test.id, test.info
   Filter: attack(test.test)
   ->  Index Scan using idx_test_1 on public.test test_1  (cost=0.28..2.31 rows=2 width=98) (actual time=0.014..0.018 rows=2 loops=1
)
         Output: test_1.id, test_1.info, test_1.*
         Index Cond: ((test_1.id <= 999) AND (test_1.id > 997))
 Total runtime: 0.343 ms
(7 rows)
digoal=> \c digoal postgres
You are now connected to database "digoal" as user "postgres".
digoal=# drop index idx_test_1;
DROP INDEX
digoal=# \c digoal digoal
You are now connected to database "digoal" as user "digoal".
digoal=> select * from test where id>997 and attack(test);
NOTICE:  (998,7177340c488270f432b1476d001f3b9d)
NOTICE:  (999,a609aef006b1147dad10f3e43993dfea)
 id  |               info               
-----+----------------------------------
 998 | 7177340c488270f432b1476d001f3b9d
 999 | a609aef006b1147dad10f3e43993dfea
(2 rows)
digoal=> explain analyze verbose select * from test where id>997 and attack(test);
NOTICE:  (998,7177340c488270f432b1476d001f3b9d)
NOTICE:  (999,a609aef006b1147dad10f3e43993dfea)
                                                     QUERY PLAN                                                     
--------------------------------------------------------------------------------------------------------------------
 Subquery Scan on test  (cost=0.00..24.02 rows=1 width=37) (actual time=0.381..0.403 rows=2 loops=1)
   Output: test.id, test.info
   Filter: attack(test.test)
   ->  Seq Scan on public.test test_1  (cost=0.00..24.00 rows=2 width=98) (actual time=0.289..0.292 rows=2 loops=1)
         Output: test_1.id, test_1.info, test_1.*
         Filter: ((test_1.id <= 999) AND (test_1.id > 997))
         Rows Removed by Filter: 998
 Total runtime: 0.439 ms
(8 rows)

从执行计划可以看出设置RLS后, RLS的条件作为子查询, attack(test)在子查询外面. 所以不可能从attack中窥探子查询外的数据, 因此id=1000的数据在这里是看不到的.

[参考] 2.  http://www.pgcon.org/2013/schedule/attachments/273_PGcon2013-kaigai-row-level-security.pdf
PostgreSQL patch: Allow a streaming replication standby to follow a timeline switch
weixin_33747129的博客
03-30 118
这个补丁不错, 省去了主从切换手工复制history文件的烦恼. Before this patch, streaming replication would refuse to start replicating if the timeline in the primary doesn't exactly match the standby. The...
PostgreSQL 行级安全性策略应用
weixin_33924220的博客
10-20 756
2019独角兽企业重金招聘Python工程师标准>>> ...
multi_tenancy:使用PostgreSQL行级安全性(RLS)的示例多租户Rails应用程序
02-05
多租户 这是由日语写成的文件的初步英文翻译。 总览 这是使用PostgreSQL行级安全性(RLS)的多租户Rails应用程序的示例。 在此应用程序中,每个租户有多个用户,每个用户有多个文章。 如果您以某个租户的用户身份登录到此应用程序,则不能引用其他租户的用户和文章。 此外,用户可以参考同一租户的其他用户的文章,但不能插入,更新或删除它们。 将这种访问限制留给应用程序侧可以使引入信息泄漏和丢失的错误更容易混入。但是,如果在数据库侧进行限制,则不会发生这种错误。 开发人员通常使用名为[Citus]( )的扩展来构建基于PostgreSQL多租户系统,但是在本示例中我们并未使用它。 C
PostgreSQL教程(四):数据类型详解
12-16
一、数值类型:     下面是PostgreSQL所支持的数值类型的列表和简单说明: 1. 整数类型:     类型smallint、integer和bigint存储各种范围的全部是数字的数,也就是没有小数部分的数字。试图存储超出范围以外的数值将导致一个错误。常用的类型是integer,因为它提供了在范围、存储空间和性能之间的最佳平衡。一般只有在磁盘空间紧张的时候才使用smallint。而只有在integer的范围不够的时候才使用bigint,因为前者(integer)绝对快得多。     2. 任意精度数值:     类型numeric可以存储最多1000位精度的数字并且准确地进行计算。因
Postgresql的CVE漏洞对应的patch信息(不全)
weixin_38312031的博客
07-04 2072
Postgresql的CVE漏洞对应的patch信息(不全) 第二列:CVE信息 第三列:对应的修复和BUG信息 第四列:patchgithub序列号 id:1 https://access.redhat.com/security/cve/CVE-2018-1053 https://bugzilla.redhat.com/show_bug.cgi?id=15396...
== PostgreSQL Weekly News - August 10, 2019 ==
专注数据库、大数据领域干货分享,用严谨的数据技术广交天下朋友。
08-13 2012
== PostgreSQL Weekly News - August 10, 2019 == PostgreSQL security releases 11.5, 10.10, 9.6.15, 9.5.19, and 9.4...
PostgreSQL 数据库安全指南
Hehuyi_In的博客
07-14 4092
PostgreSQL 数据库安全指南 TAG 27,TAG 6 作者 digoal 日期 2015-06-01 标签 PostgreSQL , 数据库安全指南 背景 数据库在一个企业中通常都处于非常核心的位置,数据库安全是一个非常严肃的话题。 从机房、网络、服务器、数据交换设备、操作系统、应用程序、数据库本身,数据库所处的环境非常复杂,安全隐患也非常多。 所以本文将从各个...
postgresql-9.4.26-1-windows-x64.exe
07-29
官方稳定版本 postgresql-9.4.26-1-windows-x64.exe
postgresql-9.4.26-1-windows-32.exe
04-08
postgresql-9.4.26-1-windows-32.exe
postgresql-9.4.24-1-windows-x64.exe
09-03
postgresql-9.4.24-1-windows-x64.exe
postgresql-9.4.26-1-windows-x64.zip
02-18
其中,“postgresql-9.4.26-1-windows-x64.zip”文件是针对Windows操作系统的64位版本的压缩包,这个版本特别为Windows平台的x64架构进行了优化。 该压缩包包含了安装PostgreSQL数据库服务器的必要文件,名为...
postgresql-9.4-1200-jdbc41.jar
04-28
postgresql-9.4-1200-jdbc41.jar
Postgresql - Row Level Security Policy
chuckchen1222的博客
05-21 1780
Row Level Security Policy 除了通过GRANT提供的SQL标准特权系统之外,表还可以具有行安全策略,以每个用户为基础限制哪些行可以通过常规查询返回,或者通过数据修改命令插入、更新或删除。此功能也称为行级安全性。默认情况下,表没有任何策略,因此,如果用户根据SQL特权系统对表具有访问权限,则表中的所有行都同样可用于查询或更新。 当对表启用行安全性时(ALTER TABLE...
行级安全(Row-Level Security
weixin_34260991的博客
05-14 274
通过授予和拒绝(Grant/Deny)命令控制用户的权限,只能控制用户对数据库对象的访问权限,这意味着,用户访问的粒度是对象整体,可以是一个数据表,或视图等,用户要么能够访问数据库对象,要么没有权限访问,就是说,一个数据库对象,通过授予和拒绝用户的权限/角色(Permission或Role),无法使特定的数据行只允许特定身份的人访问,但是,该需求可以使...
uniapp:h5链接拉起支付宝支付
sunluyi的博客
08-20 236
先打开浏览器,浏览器会提示打开支付宝,之后是支付流程。现在可以省略跳转h5的步骤,直接唤起支付宝进行支付。代码已测试,在安卓手机上可以直接唤起支付宝支付。场景:APP内点击支付宝支付,后台返回类似链接。
安装和使用 MATLAB Compiler Runtime
QQ_778132974的博客
08-21 148
你的同事、客户或合作者兴冲冲地跑来,说需要运行你用MATLAB写的一个强大的算法或一个精美的图形界面(GUI)程序。所以,MCR就是一个独立的、免费的分发件,它包含了运行由MATLAB Compiler和MATLAB Builder系列产品生成的编译后应用程序和组件所必需的所有核心库、组件和解释器。更专业的验证方法是:打开命令提示符(CMD),尝试运行MCR提供的运行时命令(虽然不常用),或者直接运行一个你编译好的测试程序。通过本指南,你应该已经清晰地理解了MCR的角色、掌握了其安装和使用的全流程。
golang 非error错误分类
Pure_Eyes的博客
08-22 278
这些 panic 一般是,Go 程序可以用recover。
【TVM 教程】向 TVM 中添加 Codegen
HyperAI超神经
08-20 878
Apache TVM 是一个深度的深度学习编译框架,适用于 CPU、GPU 和各种机器学习加速芯片。更多 TVM 中文文档可访问 →https://tvm.hyper.ai/
openEuler系统安装Ascend Docker Runtime的方法
最新发布
当 AI 开始写文章、绘星空,甚至预测未来,您还在旁观吗?这里将剖开人工智能的思考逻辑,拆解 AI 创作的底层密码,也聊聊人工智能里的人文温度。每篇都有让你拍案的细节,快来解锁 AI 时代的神奇世界!
08-22 595
在openEuler系统中使用NPU前一定要安装Ascend Docker Runtime,也是在安装CANN和mis-tei前的必备工作。下面是具体的安装方法:MindCluster Ascend Docker Runtime(容器引擎插件)为训推任务提供容器化支持,自动挂载所需文件和设备依赖。
实现PostgreSQL逻辑复制:pg-subscription-stream库使用教程
资源摘要信息:"pg-subscription-stream是一个JavaScript库,旨在简化从PostgreSQL数据库接收数据更改的过程。该库基于逻辑复制功能,通过创建逻辑复制槽,订阅者可以订阅数据库中的表,并实时接收数据变化。使用该库...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值