25 PostgreSQL 数据库安全认证 | 学习笔记

开发者学堂课程【PostgreSQL 快速入门：25 PostgreSQL 数据库安全认证】学习笔记，与课程紧密连接，让用户快速学习知识。

课程地址：https://developer.aliyun.com/learning/course/16/detail/84

25 PostgreSQL 数据库安全认证

内容介绍：

一、数据库认证

二、基于角色的权限管理

三、事件触发器

四、数据传输加密

一、数据库认证

数据库认证和认证相关的配置文件为pg_hba.conf-METHOD，该文件使用次数非常高。

位于 d SPGDATA下方的cat pg_hba.conf，cat pg_hba.conf的格式为：第一字段TYPE表示连接类型，是通过本地的Unix socket连接，或者是host的TCBIP socket(127.0.0.1/321)连接。

host是允许非SSL连接或者SSL连接，如果是hostssl连接，表示是强制指定，代码必须是SSL进行匹配；host no ssl表示强制不加密，数据传输强制不加密的连接。

第二字段DATABASE表示数据库名，第三字段USER表示用户名，第四字段ADDRESS表示连接的应用程序服务器的IP地址。METHOD表示认证的方法，既是trust认证，md5认证还是其他Idap，pan，peer的认证。第四字段ADDRESS支持一个网站，可以写地址可以写野码，可以写reject，reject表示不允许。

因有黑名单和白名单，现阶段写的是白名单，如果不在其中都是不允许连接，如果写黑名单就是reject。

1、认证类型（pg.hba.conf-TYPE）

认证类型：unix socket,host,hostssl,hostnossl；(host支持hostssl和hostnossl两种模式)，ssl表示数据传输过程必须是加密的，包括认证过程也加密。也表示无论在网络使用明文密码进行数据传输都会是加密的。

2、认证方法（pg_hba.conf-METHOD）

• trust--无需密码
  
• reject--拒绝认证，假设写的代码刚好匹配，就拒绝连接。
  
• md5--数据传输过程密码是加密的
  
• password—数据传输过程中密码是明文传输的，仅仅当认证类
  

型为SSL，密码就会被全部加密。

其他的认证方法GEEAPI，SSPI使用次数不多，都是使用其他的认证方法。

如果整个环境中都是配置ldap服务认证，cost great也会支持，或者是radius服务认证。

3、密码认证过程中的安全注意事项

在密码认证传输过程中，不要使用password认证方法，因为这种方法是明文传输。密码认证过程中使用md5认证，因在传输过程中被截获，只是md5加short，一个随机产生的数据，为二次md5表示的一个值，要破解也是比较困难。

密码认证过程中可能遭到暴力破解，类DDoS攻击。假如体育网里面有一个攻击者，攻击者可以不停的尝试密码，进行连接，暴力破解。加入auth-delay第三方插件进行防范，auth-delay表示当密码错误，不会立刻显示错误，延迟一秒钟，才会显示密码错误。要进行暴力破解，时间就会被拉长，就不会进行暴力破解和类DDoS攻击。连续输入十次，锁定用户。在cost great原来版本中作为没有这方面的支持，可能有第三方插件支持，可进行查找。

4、pg_hba.conf的鉴权

尽量将权限限制到最小，假设只有某一台服务器通过用户连接数据库，尽量避免开放所有用户，所有数据库，允许所有ID进行连接，尽量不要将范围扩大。可能会带来安全隐患，可能会导致外面网站有攻击者。前面所表示的都是一个认证过程。

二、基于角色的权限管理

基于角色的权限管理表示所有的对象权限都与角色挂钩。假设通过A用户连接，A用户有无访问对象的权限，需查看对象有没有将权限赋予给A用户。

对象的控制级别：

1、表级别权限控制

假设整个SCHEMA都要赋予给某个用户，将会支持ALL TABLEA IN SCHEMA语法，表示在SCHEMA下所有表的权限都可以给某一用户或者PUBLIC，PUBLIC表示公用的意思。所有用户连接上后，都会先继承PUBLIC权限。

2、列级别可以控制表

假设做查询，查询A列时，赋予SELECT权限，可以允许查询。但查询B列没有给予权限就会报错，。假设UPDATE某一列，可以允许某些用户使用UPDATE列，有些用户不能进行UPDATE，所以这块权限控制做得很精细。如果没有权限控制，必须创建视图，或者某些操作隐藏权限。ALL cost没有列级别。

3、序列权限控制

查询序列权限时，只允许获得自己的序列，获得序列当前配置的最大值，但是不能使用该配置。假设取next vary时不允许，只有赋予UPDATE权限或者USAGE权限时，才会允许取序列的值。

4、数据库权限控制

数据库连接，允许连接或者在数据库中创建或者创建CREATE。

5、域的权限控制

相当于简单的数据类型，假设inter型创建一个域，指定inter类型是1到1000范围内，定义域。域就是一个类型，域允许使用或者是只有一个使用权限。

6、ALL相当于USAGE。

7、FDW权限控制

对于外部数据，GRANT权限，这种权限默认超级用户才会拥有。普通用户要使用必须要赋予该权限。

8、FS权限控制也是相当于外部数据访问的情形。

9、函数权限控制

函数就是执行权限，函数的创建权限与函数的语言有关，假设创建C语言的函数，有无创建该函数的权限，首先让该语言拥有USAGE权限。大对象有查询大对象，或者更新大对象，两中权限。

10、SCHEMA权限控制

可在SCHEMA中创建数据，给予CREATE权限，假设只是SCHEMA需查询，没有区分查询和创建，就创建USAGE。

11、表空间的权限控制

表空间的权限控制表示是否能在表空间中创建数据，必须要赋予CREATE权限。

12、数据类型的权限控制

数据类型的权限与SCHEMA权限类似。

13、角色权限控制

假设，某一角色其中的权限，当某一的角色的其中权限另一角色需使用，直接把角色赋予给另一角色。进而，该角色就能继承该权限。

例子：

在数据库中，在创建数据库和表空间时，数据库和表空间的owner需指定，假设将owner指定给一个普通用户，普通用户就能删除对象，假设在创建数据库时，将数据库指定给A用户，A用户就能drop数据库，所以一般在创建数据库和创建表空间时都是给予超级用户，在将数据库和表空间的权限给予普通用户，普通用户就不能进行drop database和 drop tablespace 操作，这种操作比较危险。

14、对于schema也是一样

尽量使用超级用户创建，将权限赋予给普通用户，对于比较大的数据类型，表空间，数据库，尽量使用超级用户创建，不使用普通用户去创建。对于PUBLIC默认的SCHEMA，因默认时是有PUBLIC SCHEMA存在的，默认就会将权限赋予给PUBLIC角色，总的说就是公有。

创建完数据库后，只要用户能连接上，连接上后就能在SCHEMA PUBLIC创建对象，可以将PUBLIC从PUBLIC里回收，回收后普通用户就不能进行创建，或者连接数据库。默认完权限后就会将连接权限赋予给PUBLIC，数据库中就会默认PUBLIC SCHEMA，总的来说，一个数据库创建好后，普通用户可以连接，可以建表，删除表。

三、事件触发器

假设在执行 DDL，在执行DDL前可以出发该事件，或者在执行ddl_command_end时触发事件，这都是包含于一个事物里面。在结束时，有异常，那前面有DDL也会回滚。

支持的语法为：

ON event 表示事件，事件只有两种，一种是DDL命令开始时，另一种是DDL命令结束时。

[WHEN filter_variable IN]表示一个事件，假设，其中含有trigger，目前来说，只支持trigger，filter_value是一个什么类型的 trigger。查看支持哪种 filter_value。

支持ALTER AGGREGATE，CREATE AGGREGATE,CREATE CAST, CREATE DCMATN，CREATE INDEX。几乎都是 DDL 语句，SELETE INTO也是DDL语句。用 SELETE INTO 创建新表，DROP SCMENA，DROP SEQUEMCE。通过这种事件可以限制某些用户不能创建数据库或者某些用户不能在SCHEMA下创建表。

观察例子9.3：

在同一事件上创建多个事件触发器，触发器被触发顺序与触发名字有关，与触发器函数名字无关。是与 TRIGGER b有关，创建的两个触发器是触发A的TRIGGER函数，叫做 etge2，再触发 etge1。可以看到etge2先触发，etge1后触发。

该函数语法简单，可用 plpgsql，或者sql去写都可以使用。只要返回类型是event_trigger 类型。数据库中有哪些事件触发器可通过pg_event_trigger进行查找，假设，创建两个事件触发器，对应的触发器函数和定义即可进行查找，利用其来创建安全限制。假设创建事件触发器函数，结果出现异常，显示是什么事件，执行什么命令，进行 sbort。

将事件触发器创建到 ddl_command_end事件触发器，执行完ddl触发事件后就会触发函数，报出异常。就会使创建表时出现异常，不允许创建该表。

就会限制整个库中不能执行 ddl。当执行ddl时，将事件触发器关掉，再去执行ddl，起到保护作用。特别是当数据库遭到攻击时，上来后也不能执行ddl语句。更精细的控制就是在函数里加入一些判断，假设，数据库中禁止postgres用户在数据库digoal中执行CREATE TABLE和DROP TABLE命令。

在创建触发器函数中去限制，先判断curreat_user是否是postgres，如果是，就会出现异常。如果不是直接返回。事件触发器在创建完后，取postgreSQL中的CREATE TABLE，DSOP TABLE，将这两值放入，当事件被触发时，调用adert函数。

假设，使用poetgres用户连接上连接，现删除或者创建一个表，出现报错。报错ddl_command_start或者是command CREATE TABLE，不允许CREATE TABLE，其他用户在其中建表不会报错，因函数名已明显判断，也起到保护作用。

四、数据传输加密

要支持ssl连接，数据库服务端和客户端都需要openssl包，其就是调用数据传输的库，观察配置，先安装两款，在两台服务器中已经安装好就会直接调用库里。

假设另一台是客户机，也是安装好的。安装好后，配置通过ssl连接，需要ssl认证签名，因没有使用到公有的签名的服务器，即为自己签名，自己给自己颁发证书。

首先看openssl对应的配置文件在哪，配置文件默认在etc/pki/tls，etc/pki/tls在数据库中配置，演示使用的是openssl.cnf里的，接着生成自签名的key文件，生成key需执行openssl req”nsr“test”out server.req” 命令 ,就会出现key文件。

Key文件中需输入创建key文件的密文，这里已经密文创建好，重新演示，到cost great里的密文，也可将密文作为参数写入openssl req”nsr“test”out server.req”subj’/CuCN/ST=Zhejiang/LaHeagerhou/Onsbgmbi/Cm=db-172-16-3-33,sky-sobi.con’