🔥 热搜 🔥
11'"1'123456kN朱令去世一周年,清华学子控诉清华在朱令案中的冷血和无耻张靓颖抖音鱿鱼游戏朱令
分类
社会娱乐国际人权科技经济其它
🔥 热搜 🔥
11'"1'123456kN朱令去世一周年,清华学子控诉清华在朱令案中的冷血和无耻张靓颖抖音鱿鱼游戏朱令
分类
社会娱乐国际人权科技经济其它
查看原文
其他

第26期吐槽:开发者使用PG的第1件事-配置访问控制策略,体验有待加强

digoal PostgreSQL码农集散地 2024-07-08

文中参考文档点击阅读原文打开, 同时推荐2个学习环境: 

1、懒人Docker镜像, 已打包200+插件:《最好的PostgreSQL学习镜像

2、有web浏览器就能用的云起实验室: 《免费体验PolarDB开源数据库

3、PolarDB开源数据库内核、最佳实践等学习图谱:  https://www.aliyun.com/database/openpolardb/activity 

关注公众号, 持续发布PostgreSQL、PolarDB、DuckDB等相关文章. 

第26期吐槽:PG 没有基于角色权限的ACL控制

1、产品的问题点

  • PG 没有基于角色权限的ACL控制

2、问题点背后涉及的技术原理

  • PG 通过pg_hba.conf 配置访问控制规则, 配置条目包括

# local DATABASE USER METHOD [OPTIONS]
# host DATABASE USER ADDRESS METHOD [OPTIONS]
# hostssl DATABASE USER ADDRESS METHOD [OPTIONS]
# hostnossl DATABASE USER ADDRESS METHOD [OPTIONS]
# hostgssenc DATABASE USER ADDRESS METHOD [OPTIONS]
# hostnogssenc DATABASE USER ADDRESS METHOD [OPTIONS]

  • 只能控制到user级别, 而这个USER到底是普通用户还是superuser并不知道

    • 拒绝或允许连接是在建立连接之前完成, 数据库端通过协议层获取到客户连接的username, dbname, IP, 即可通过ACL规则进行判断是否放行.

    • 如果要实现USER对应的角色来进行判定, 需要查询元数据, 使得认证过程变得更复杂.

postgres=# \d pg_shadow
View "pg_catalog.pg_shadow"
Column | Type | Collation | Nullable | Default
--------------+--------------------------+-----------+----------+---------
usename | name | | |
usesysid | oid | | |
usecreatedb | boolean | | |
usesuper | boolean | | |
userepl | boolean | | |
usebypassrls | boolean | | |
passwd | text | C | |
valuntil | timestamp with time zone | | |
useconfig | text[] | C | |


postgres=# \d pg_roles
View "pg_catalog.pg_roles"
Column | Type | Collation | Nullable | Default
----------------+--------------------------+-----------+----------+---------
rolname | name | | |
rolsuper | boolean | | |
rolinherit | boolean | | |
rolcreaterole | boolean | | |
rolcreatedb | boolean | | |
rolcanlogin | boolean | | |
rolreplication | boolean | | |
rolconnlimit | integer | | |
rolpassword | text | | |
rolvaliduntil | timestamp with time zone | | |
rolbypassrls | boolean | | |
rolconfig | text[] | C | |
oid | oid | | |

3、这个问题将影响哪些行业以及业务场景

  • 通用

4、会导致什么问题?

  • 无法满足超级用户角色的通用规则配置, 例如不允许超级用户使用非unix socket端口连接, 这也可能是某些企业的安全规则. 防止超级用户通过tcpip从本地或网络层访问, 造成更大破坏力.

5、业务上应该如何避免这个坑

  • 找到所有的超级用户, 并在pg_hba.conf中逐条配置, 例如

host all sup1,sup2,sup3 0.0.0.0/0 reject
local all sup1,sup2,sup3 md5

6、业务上避免这个坑牺牲了什么, 会引入什么新的问题

  • 如果用户的角色权限发生变化, 需要重新调整pg_hba.conf, 管理成本增加, 也容易出现遗漏.

7、数据库未来产品迭代如何修复这个坑

  • 希望内核层支持, 例如使用login hook来进行多重条件判定, 支持更多的规则.


本期彩蛋-招商中,有需要的小伙伴可联系嵌入...


文章中的参考文档请点击阅读原文获得. 

欢迎关注我的github (https://github.com/digoal/blog) , 学习数据库不迷路.  

近期正在写公开课材料, 未来将通过视频号推出, 欢迎关注视频号:


继续滑动看下一个
PostgreSQL码农集散地
向上滑动看下一个

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存