25 PostgreSQL 数据库安全认证 | 学习笔记

本文涉及的产品
数据传输服务 DTS,数据迁移 small 3个月
推荐场景:
MySQL数据库上云
数据传输服务 DTS,数据同步 small 3个月
推荐场景:
数据库上云
密钥管理服务KMS,1000个密钥,100个凭据,1个月
简介: 快速学习25 PostgreSQL 数据库安全认证

开发者学堂课程【PostgreSQL 快速入门25 PostgreSQL 数据库安全认证学习笔记,与课程紧密连接,让用户快速学习知识。

课程地址https://developer.aliyun.com/learning/course/16/detail/84


25 PostgreSQL 数据库安全认证


内容介绍:

一、数据库认证

二、基于角色的权限管理

三、事件触发器

四、数据传输加密


一、数据库认证

数据库认证和认证相关的配置文件为pg_hba.conf-METHOD,该文件使用次数非常高。

位于 d SPGDATA下方的cat pg_hba.conf,cat pg_hba.conf的格式为:第一字段TYPE表示连接类型,是通过本地的Unix socket连接,或者是host的TCBIP socket(127.0.0.1/321)连接。

image.png

host是允许非SSL连接或者SSL连接,如果是hostssl连接,表示是强制指定,代码必须是SSL进行匹配;host no ssl表示强制不加密,数据传输强制不加密的连接。

第二字段DATABASE表示数据库名,第三字段USER表示用户名,第四字段ADDRESS表示连接的应用程序服务器的IP地址。METHOD表示认证的方法,既是trust认证,md5认证还是其他Idap,pan,peer的认证。第四字段ADDRESS支持一个网站,可以写地址可以写野码,可以写reject,reject表示不允许。

因有黑名单和白名单,现阶段写的是白名单,如果不在其中都是不允许连接,如果写黑名单就是reject

1、认证类型(pg.hba.conf-TYPE

认证类型:unix socket,host,hostssl,hostnossl(host支持hostssl和hostnossl两种模式),ssl表示数据传输过程必须是加密的,包括认证过程也加密。也表示无论在网络使用明文密码进行数据传输都会是加密的。

2、认证方法(pg_hba.conf-METHOD

  • trust--无需密码
  • reject--拒绝认证,假设写的代码刚好匹配,就拒绝连接。
  • md5--数据传输过程密码是加密的
  • password—数据传输过程中密码是明文传输的,仅仅当认证类

型为SSL,密码就会被全部加密。

其他的认证方法GEEAPISSPI使用次数不多,都是使用其他的认证方法。

如果整个环境中都是配置ldap服务认证,cost great也会支持,或者是radius服务认证。

3、密码认证过程中的安全注意事项

在密码认证传输过程中,不要使用password认证方法,因为这种方法是明文传输。密码认证过程中使用md5认证,因在传输过程中被截获,只是md5加short,一个随机产生的数据,为二次md5表示的一个值,要破解也是比较困难。

密码认证过程中可能遭到暴力破解,类DDoS攻击。假如体育网里面有一个攻击者,攻击者可以不停的尝试密码,进行连接,暴力破解。加入auth-delay第三方插件进行防范,auth-delay表示当密码错误,不会立刻显示错误,延迟一秒钟,才会显示密码错误。要进行暴力破解,时间就会被拉长,就不会进行暴力破解和类DDoS攻击。连续输入十次,锁定用户。在cost great原来版本中作为没有这方面的支持,可能有第三方插件支持,可进行查找。

4pg_hba.conf的鉴权

尽量将权限限制到最小,假设只有某一台服务器通过用户连接数据库,尽量避免开放所有用户,所有数据库,允许所有ID进行连接,尽量不要将范围扩大。可能会带来安全隐患,可能会导致外面网站有攻击者。前面所表示的都是一个认证过程。


二、基于角色的权限管理

基于角色的权限管理表示所有的对象权限都与角色挂钩。假设通过A用户连接,A用户有无访问对象的权限,需查看对象有没有将权限赋予给A用户。

对象的控制级别:

image.png

1、表级别权限控制

假设整个SCHEMA都要赋予给某个用户,将会支持ALL TABLEA IN SCHEMA语法,表示在SCHEMA下所有表的权限都可以给某一用户或者PUBLIC,PUBLIC表示公用的意思。所有用户连接上后,都会先继承PUBLIC权限。

2、列级别可以控制表

假设做查询,查询A列时,赋予SELECT权限,可以允许查询。但查询B列没有给予权限就会报错,。假设UPDATE某一列,可以允许某些用户使用UPDATE列,有些用户不能进行UPDATE,所以这块权限控制做得很精细。如果没有权限控制,必须创建视图,或者某些操作隐藏权限。ALL cost没有列级别。

3、序列权限控制

查询序列权限时,只允许获得自己的序列,获得序列当前配置的最大值,但是不能使用该配置。假设取next vary时不允许,只有赋予UPDATE权限或者USAGE权限时,才会允许取序列的值。

4、数据库权限控制

数据库连接,允许连接或者在数据库中创建或者创建CREATE

5、域的权限控制

相当于简单的数据类型,假设inter型创建一个域,指定inter类型是1到1000范围内,定义域。域就是一个类型,域允许使用或者是只有一个使用权限。

6ALL相当于USAGE

7、FDW权限控制

对于外部数据,GRANT权限,这种权限默认超级用户才会拥有。普通用户要使用必须要赋予该权限。

8、FS权限控制也是相当于外部数据访问的情形。

9、函数权限控制

函数就是执行权限,函数的创建权限与函数的语言有关,假设创建C语言的函数,有无创建该函数的权限,首先让该语言拥有USAGE权限。大对象有查询大对象,或者更新大对象,两中权限。

10、SCHEMA权限控制

可在SCHEMA中创建数据,给予CREATE权限,假设只是SCHEMA需查询,没有区分查询和创建,就创建USAGE

11、表空间的权限控制

表空间的权限控制表示是否能在表空间中创建数据,必须要赋予CREATE权限。

12、数据类型的权限控制

数据类型的权限与SCHEMA权限类似。

13、角色权限控制

假设,某一角色其中的权限,当某一的角色的其中权限另一角色需使用,直接把角色赋予给另一角色。进而,该角色就能继承该权限。

例子:

在数据库中,在创建数据库和表空间时,数据库和表空间的owner需指定,假设将owner指定给一个普通用户,普通用户就能删除对象,假设在创建数据库时,将数据库指定给A用户,A用户就能drop数据库,所以一般在创建数据库和创建表空间时都是给予超级用户,在将数据库和表空间的权限给予普通用户,普通用户就不能进行drop database和 drop tablespace 操作,这种操作比较危险。

14、对于schema也是一样

尽量使用超级用户创建,将权限赋予给普通用户,对于比较大的数据类型,表空间,数据库,尽量使用超级用户创建,不使用普通用户去创建。对于PUBLIC默认的SCHEMA,因默认时是有PUBLIC SCHEMA存在的,默认就会将权限赋予给PUBLIC角色,总的说就是公有。

创建完数据库后,只要用户能连接上,连接上后就能在SCHEMA PUBLIC创建对象,可以将PUBLIC从PUBLIC里回收,回收后普通用户就不能进行创建,或者连接数据库。默认完权限后就会将连接权限赋予给PUBLIC,数据库中就会默认PUBLIC SCHEMA,总的来说,一个数据库创建好后,普通用户可以连接,可以建表,删除表。


三、事件触发器

假设在执行 DDL,在执行DDL前可以出发该事件,或者在执行ddl_command_end时触发事件,这都是包含于一个事物里面。在结束时,有异常,那前面有DDL也会回滚。

支持的语法为:

ON event 表示事件,事件只有两种,一种是DDL命令开始时,另一种是DDL命令结束时。

[WHEN filter_variable IN]表示一个事件,假设,其中含有trigger,目前来说,只支持trigger,filter_value是一个什么类型的 trigger。查看支持哪种 filter_value

支持ALTER AGGREGATE,CREATE AGGREGATE,CREATE CAST, CREATE DCMATNCREATE INDEX。几乎都是 DDL 语句,SELETE INTO也是DDL语句。用 SELETE INTO 创建新表,DROP SCMENA,DROP SEQUEMCE。通过这种事件可以限制某些用户不能创建数据库或者某些用户不能在SCHEMA下创建表。

观察例子9.3

在同一事件上创建多个事件触发器,触发器被触发顺序与触发名字有关,与触发器函数名字无关。是与 TRIGGER b有关,创建的两个触发器是触发A的TRIGGER函数,叫做 etge2,再触发 etge1。可以看到etge2先触发,etge1后触发。

该函数语法简单,可用 plpgsql,或者sql去写都可以使用。只要返回类型是event_trigger 类型。数据库中有哪些事件触发器可通过pg_event_trigger进行查找,假设,创建两个事件触发器,对应的触发器函数和定义即可进行查找,利用其来创建安全限制。假设创建事件触发器函数,结果出现异常,显示是什么事件,执行什么命令,进行 sbort

将事件触发器创建到 ddl_command_end事件触发器,执行完ddl触发事件后就会触发函数,报出异常。就会使创建表时出现异常,不允许创建该表。

就会限制整个库中不能执行 ddl。当执行ddl时,将事件触发器关掉,再去执行ddl,起到保护作用。特别是当数据库遭到攻击时,上来后也不能执行ddl语句。更精细的控制就是在函数里加入一些判断,假设,数据库中禁止postgres用户在数据库digoal中执行CREATE TABLEDROP TABLE命令。

在创建触发器函数中去限制,先判断curreat_user是否是postgres,如果是,就会出现异常。如果不是直接返回。事件触发器在创建完后,取postgreSQL中的CREATE TABLE,DSOP TABLE,将这两值放入,当事件被触发时,调用adert函数。

假设,使用poetgres用户连接上连接,现删除或者创建一个表,出现报错。报错ddl_command_start或者是command CREATE TABLE,不允许CREATE TABLE,其他用户在其中建表不会报错,因函数名已明显判断,也起到保护作用。


四、数据传输加密

要支持ssl连接,数据库服务端和客户端都需要openssl包,其就是调用数据传输的库,观察配置,先安装两款,在两台服务器中已经安装好就会直接调用库里。

假设另一台是客户机,也是安装好的。安装好后,配置通过ssl连接,需要ssl认证签名,因没有使用到公有的签名的服务器,即为自己签名,自己给自己颁发证书。

首先看openssl对应的配置文件在哪,配置文件默认在etc/pki/tls,etc/pki/tls在数据库中配置,演示使用的是openssl.cnf里的,接着生成自签名的key文件,生成key需执行openssl req”nsr“test”out server.req 命令 ,就会出现key文件。

Key文件中需输入创建key文件的密文,这里已经密文创建好,重新演示,到cost great里的密文,也可将密文作为参数写入openssl req”nsr“test”out server.req”subj’/CuCN/ST=Zhejiang/LaHeagerhou/Onsbgmbi/Cm=db-172-16-3-33,sky-sobi.con’

相关实践学习
使用PolarDB和ECS搭建门户网站
本场景主要介绍基于PolarDB和ECS实现搭建门户网站。
阿里云数据库产品家族及特性
阿里云智能数据库产品团队一直致力于不断健全产品体系,提升产品性能,打磨产品功能,从而帮助客户实现更加极致的弹性能力、具备更强的扩展能力、并利用云设施进一步降低企业成本。以云原生+分布式为核心技术抓手,打造以自研的在线事务型(OLTP)数据库Polar DB和在线分析型(OLAP)数据库Analytic DB为代表的新一代企业级云原生数据库产品体系, 结合NoSQL数据库、数据库生态工具、云原生智能化数据库管控平台,为阿里巴巴经济体以及各个行业的企业客户和开发者提供从公共云到混合云再到私有云的完整解决方案,提供基于云基础设施进行数据从处理、到存储、再到计算与分析的一体化解决方案。本节课带你了解阿里云数据库产品家族及特性。
相关文章
|
19天前
|
存储 关系型数据库 数据库
【赵渝强老师】PostgreSQL的数据库
PostgreSQL的逻辑存储结构涵盖数据库集群、数据库、表、索引、视图等对象,每个对象有唯一的oid标识。数据库集群包含多个数据库,每个数据库又包含多个模式,模式内含表、函数等。通过特定SQL命令可查看和管理这些数据库对象。
|
2月前
|
存储 SQL 关系型数据库
Mysql学习笔记(二):数据库命令行代码总结
这篇文章是关于MySQL数据库命令行操作的总结,包括登录、退出、查看时间与版本、数据库和数据表的基本操作(如创建、删除、查看)、数据的增删改查等。它还涉及了如何通过SQL语句进行条件查询、模糊查询、范围查询和限制查询,以及如何进行表结构的修改。这些内容对于初学者来说非常实用,是学习MySQL数据库管理的基础。
138 6
|
2月前
|
存储 关系型数据库 MySQL
一个项目用5款数据库?MySQL、PostgreSQL、ClickHouse、MongoDB区别,适用场景
一个项目用5款数据库?MySQL、PostgreSQL、ClickHouse、MongoDB——特点、性能、扩展性、安全性、适用场景比较
|
22天前
|
存储 关系型数据库 数据库
【赵渝强老师】PostgreSQL的数据库集群
PostgreSQL的逻辑存储结构涵盖了数据库集群、数据库、表、索引、视图等对象,每个对象都有唯一的oid标识。数据库集群是由单个PostgreSQL实例管理的所有数据库集合,共享同一配置和资源。集群的数据存储在一个称为数据目录的单一目录中,可通过-D选项或PGDATA环境变量指定。
|
1月前
|
关系型数据库 分布式数据库 数据库
PostgreSQL+Citus分布式数据库
PostgreSQL+Citus分布式数据库
62 15
|
2月前
|
SQL Ubuntu 关系型数据库
Mysql学习笔记(一):数据库详细介绍以及Navicat简单使用
本文为MySQL学习笔记,介绍了数据库的基本概念,包括行、列、主键等,并解释了C/S和B/S架构以及SQL语言的分类。接着,指导如何在Windows和Ubuntu系统上安装MySQL,并提供了启动、停止和重启服务的命令。文章还涵盖了Navicat的使用,包括安装、登录和新建表格等步骤。最后,介绍了MySQL中的数据类型和字段约束,如主键、外键、非空和唯一等。
75 3
Mysql学习笔记(一):数据库详细介绍以及Navicat简单使用
|
2月前
|
安全 Java 关系型数据库
springboot整合springsecurity,从数据库中认证
本文介绍了如何在SpringBoot应用中整合Spring Security,并从数据库中进行用户认证的完整步骤,包括依赖配置、数据库表创建、用户实体和仓库接口、用户详情服务类、安全配置类、控制器类以及数据库初始化器的实现。
173 3
springboot整合springsecurity,从数据库中认证
|
1月前
|
SQL 关系型数据库 数据库
PostgreSQL性能飙升的秘密:这几个调优技巧让你的数据库查询速度翻倍!
【10月更文挑战第25天】本文介绍了几种有效提升 PostgreSQL 数据库查询效率的方法,包括索引优化、查询优化、配置优化和硬件优化。通过合理设计索引、编写高效 SQL 查询、调整配置参数和选择合适硬件,可以显著提高数据库性能。
272 1
|
1月前
|
存储 关系型数据库 MySQL
MySQL vs. PostgreSQL:选择适合你的开源数据库
在众多开源数据库中,MySQL和PostgreSQL无疑是最受欢迎的两个。它们都有着强大的功能、广泛的社区支持和丰富的生态系统。然而,它们在设计理念、性能特点、功能特性等方面存在着显著的差异。本文将从这三个方面对MySQL和PostgreSQL进行比较,以帮助您选择更适合您需求的开源数据库。
156 4
|
2月前
|
SQL 关系型数据库 数据库
使用 PostgreSQL 和 Python 实现数据库操作
【10月更文挑战第2天】使用 PostgreSQL 和 Python 实现数据库操作