EnterpriseDB & PostgreSQL RLS & Oracle VPD-阿里云开发者社区

开发者社区> 阿里云数据库> 正文

EnterpriseDB & PostgreSQL RLS & Oracle VPD

简介: PostgreSQL 9.5的RLS用法请参照http://blog.163.com/digoal@126/blog/static/16387704020153984016177/EnterpriseDB的RLS用法略有差别,因为EDB主要为Oracle兼容性做了很多适配,用法和Oracle的VP.

PostgreSQL 9.5的RLS用法请参照
http://blog.163.com/digoal@126/blog/static/16387704020153984016177/
EnterpriseDB的RLS用法略有差别,因为EDB主要为Oracle兼容性做了很多适配,用法和Oracle的VPD用法相似,调用DBMS_RLS.add_policy来实现RLS。
详细的用法参照:
http://www.enterprisedb.com/docs/en/9.5/oracompat/Database_Compatibility_for_Oracle_Developers_Guide.1.201.html#pID0E0D5J0HA
例子:

postgres=> create table test(id int, info text, rol name);  

创建一个策略,只允许用户操作(select,update,delete,insert) rol=当前用户名的记录。
首先要创建一个函数,函数的参数类型和返回值类型必须使用这种格式。
代表行安全策略要在哪个schema.object对象上应用,以及应用时添加的条件。
函数返回值就是添加的条件。
例如'rol='||current_user这个会作为附加条件,判断记录是否匹配这个条件。

postgres=> create or replace function f(p_schema text, p_obj text) returns text as 
$$
  
declare                                           
begin                         
  return 'rol=$_$'||current_user||'$_$';  
end;                                

$$
 language plpgsql;  
CREATE FUNCTION  

创建策略(需超级用户):

postgres=> select                        
dbms_rls.add_policy (object_schema => 'public'::text      
,object_name => 'test'::text      
,policy_name => 'policy1'::text             
,function_schema => 'public'::text  
,STATEMENT_TYPES => 'SELECT, INSERT, UPDATE, DELETE'::text  
,POLICY_FUNCTION => 'f'::text, update_check=>'true');   
 rds_add_policy   
----------------  
   
(1 row)  

验证策略是否生效

postgres=> select current_user;  
 current_user   
--------------  
 digoal  
(1 row)  

当前用户为digoal,只能插入rol='digoal'的记录

postgres=> insert into test values (1,'test','digoal');  
INSERT 16426 1  
postgres=> insert into test values (1,'test','A');  
ERROR:  policy with check option violation  
DETAIL:  Policy predicate was evaluated to FALSE with the updated values  

更换一个名为test的用户测试:

postgres=> insert into test values (1,'test','a');  
ERROR:  policy with check option violation  
DETAIL:  Policy predicate was evaluated to FALSE with the updated values  
postgres=> insert into test values (1,'test','test');  
INSERT 16428 1  
postgres=> select current_user;  
 current_user   
--------------  
 test  
(1 row)  
postgres=> update test set id=1;  
UPDATE 1  
postgres=> update test set id=1 returning *;  
 id | info | rol    
----+------+------  
  1 | test | test  
(1 row)  
UPDATE 1  

这样做到了数据的隔离。

查看已有的策略:

postgres=# select * from dba_policies ;  
 object_owner | schema_name | object_name | policy_group |    policy_name     | pf_owner | package | function | sel | ins | upd | del | idx | chk_option | enable | static_policy | policy_type | long_predicate   
--------------+-------------+-------------+--------------+--------------------+----------+---------+----------+-----+-----+-----+-----+-----+------------+--------+---------------+-------------+----------------  
 digoal       | public      | test        |              | policy1            | public   |         | f        | YES | YES | YES | YES | NO  | YES        | YES    | NO            | UNKNOWN     | YES  
  

禁用,生效策略

postgres=# select dbms_rls.enable_policy('public','test','policy1',false);  -- 禁用  
postgres=# select dbms_rls.enable_policy('public','test','policy1',true);  -- 生效  

删除策略

postgres=# select dbms_rls.drop_policy('public','test','policy1');  
-[ RECORD 1 ]-  
drop_policy |   

注意EDB的策略只能针对所有用户,不能像PG那样只对某些用户创建策略。
如果要让EDB的策略有针对性,可以在函数中加上角色判断,对不同的角色使用不同的返回值来控制策略的多样性。
例如

switch current_user  
  when 'digoal' then return '.....';  
  when '..' then return '...';  
等。  

策略还有一个需要注意的地方,静态和动态。通过add_policy的参数控制,默认是动态。
静态策略指会话中第一次触发策略时,编译成静态的,以后直接使用内存中缓存的策略。
动态策略指每次都重新调用。例如使用current_user这种变量作为return值中的一部分,就需要使用动态策略。

权限问题:
dbms_rls包需要超级用户才能执行,如果需要给普通用户执行权限,可以通过封装,或者将函数的执行权限给普通用户。
例如:

create or replace function your_add_policy(object_schema text DEFAULT NULL::text, object_name text, policy_name text, function_schema text DEFAULT NULL::text, policy_function text, statement_types text DEFAULT 'insert,update,delete,select'::text, update_check boolean DEFAULT false, enable boolean DEFAULT true, static_policy boolean DEFAULT false, policy_type integer DEFAULT NULL::integer, long_predicate boolean DEFAULT false, sec_relevant_cols text DEFAULT NULL::text, sec_relevant_cols_opt integer DEFAULT NULL::integer) returns void as 
$$
           
declare  
begin  
perform dbms_rls.add_policy(object_schema , object_name , policy_name , function_schema , policy_function , statement_types , update_check , enable , static_policy , policy_type , long_predicate , sec_relevant_cols , sec_relevant_cols_opt);  
end;  

$$
 language plpgsql;  
  
grant execute on function your_add_policy( text ,  text,  text,  text ,  text,  text ,  boolean ,  boolean ,  boolean ,  integer ,  boolean ,  text ,  integer ) to public;  

给普通用户操作add_policy的风险:
对超级用户创建的表,普通用户也能通过add_policy来控制安全策略,这个控制结果有点越权的感觉。
例如用户创建一个函数如下:

create or replace function f2(name,name) returns text as 
$$
  
declare  
begin  
return 'false';  
end;  

$$
 language plpgsql;  

然后把这个函数作为策略函数,在一个超级用户创建的表上创建策略,超级用户对这个表的内容就会变成完全不可见状态。
是非常危险的。不过还好对系统表不起作用,否则问题更严重。

安全加固方法:
在封装函数中过滤需要过滤的表,对这些表不允许创建policy:

create or replace function your_add_policy(object_schema text DEFAULT NULL::text, object_name text, policy_name text, function_schema text DEFAULT NULL::text, policy_function text, statement_types text DEFAULT 'insert,update,delete,select'::text, update_check boolean DEFAULT false, enable boolean DEFAULT true, static_policy boolean DEFAULT false, policy_type integer DEFAULT NULL::integer, long_predicate boolean DEFAULT false, sec_relevant_cols text DEFAULT NULL::text, sec_relevant_cols_opt integer DEFAULT NULL::integer) returns void as 
$$
         
declare
filter_name text[];
begin
filter_name = array['public.tbl1'];  -- 过滤这个表
perform 1 where object_schema||'.'||object_name = any(filter_name);
if not found then
perform dbms_rls.add_policy(object_schema , object_name , policy_name , function_schema , policy_function , statement_types , update_check , enable , static_policy , policy_type , long_predicate , sec_relevant_cols , sec_relevant_cols_opt);
end if;
end;

$$
 language plpgsql security definer;

grant execute on function your_add_policy( text ,  text,  text,  text ,  text,  text ,  boolean ,  boolean ,  boolean ,  integer ,  boolean ,  text ,  integer ) to public;

用户再次使用your_add_policy添加策略时,对public.tbl1不起作用。

[参考]

  1. http://blog.163.com/digoal@126/blog/static/16387704020153984016177/
  2. http://www.enterprisedb.com/docs/en/9.5/oracompat/Database_Compatibility_for_Oracle_Developers_Guide.1.201.html#pID0E0D5J0HA
  3. http://www.postgresql.org/docs/9.5/static/sql-createpolicy.html

版权声明:本文中所有内容均属于阿里云开发者社区所有,任何媒体、网站或个人未经阿里云开发者社区协议授权不得转载、链接、转贴或以其他方式复制发布/发表。申请授权请邮件developerteam@list.alibaba-inc.com,已获得阿里云开发者社区协议授权的媒体、网站,在转载使用时必须注明"稿件来源:阿里云开发者社区,原文作者姓名",违者本社区将依法追究责任。 如果您发现本社区中有涉嫌抄袭的内容,欢迎发送邮件至:developer2020@service.aliyun.com 进行举报,并提供相关证据,一经查实,本社区将立刻删除涉嫌侵权内容。

分享:
阿里云数据库
使用钉钉扫一扫加入圈子
+ 订阅

帮用户承担一切数据库风险,给您何止是安心!

官方博客
链接