PostgreSQL数据库创建只读用户的权限安全隐患

2024-05-06 06:28

本文主要是介绍PostgreSQL数据库创建只读用户的权限安全隐患,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

PostgreSQL数据库模拟备库创建只读用户存在的权限安全隐患

    • default_transaction_read_only
    • 权限授权
    • 版本变更说明

看腻了就来听听视频演示吧:https://www.bilibili.com/video/BV1ZJ4m1578H/

default_transaction_read_only

创建只读用户,参照备库只读模式。有个简单的方式就是直接set参数:default_transaction_read_only,但这里有个安全隐患问题:在开启事务的场景下可以调整事务的读写权限。

  1. 硬锁定,直接将数据库切换到恢复模式(备库),绝对不会有写操作出现。
  2. 软锁定,设置default_transaction_read_only为on,默认开启的事务为只读事务。用户如果使用begin transaction read write可破解。
drop owned by u_readonly;
drop user IF EXISTS u_readonly;
-- 创建只读用户:授予所有权限(管理员)再将其设置为只读用户(整个实例的只读用户)
create user u_readonly Superuser password 'Test@123';
alter user u_readonly set default_transaction_read_only = on;
-- 单个数据库的只读用户(推荐使用),将库的所有者的权限给予只读用户即可
create user u_readonly password 'Test@123';
grant db_user to u_readonly;
alter user u_readonly set default_transaction_read_only = on;\c - u_readonly
-- 漏洞:开启事务 set 或begin transaction read write;后有写权限
begin;
set TRANSACTION READ WRITE;
create table public.t_hhh(id int);

image.png

权限授权

drop owned by u2_readonly;
drop user IF EXISTS u2_readonly;
-- 默认所有用户都有在public模式下create权限,需先回收,PG15已回收该权限
revoke create on schema public from public;
-- 若其他用户需要使用public模式会受到影响,需要重新授权
grant create on schema public to user_name;
-- 创建普通用户
CREATE user u2_readonly password 'Test@123'; -- 针对所有数据可读,PG14新增读写角色:pg_read_all_data(读权限) / pg_write_all_data(写权限)
grant pg_read_all_data to u2_readonly;-- 部分数据可读:先授予模式的使用权限
grant USAGE on SCHEMA 模式名 to u2_readonly;
-- 再授予模式下现有表的查询权限
grant SELECT on all tables in schema 模式名 to u2_readonly;
-- 后面新创建的表得追加动态授权,不同用户创建的表需要不同用户来追加授权
alter default privileges in schema 模式名 grant select on tables to u2_readonly; 

版本变更说明

PG 14 版本新增的全局读写权限的用户操作:

  • pg_database_owner:提供数据库宿主的通用权限,常见于模板库的定制化工作。
  • pg_read_all_data:提供全局读取的访问权限,实例级全局只读用户。
  • pg_write_all_data:提供全局写入的访问权限,实例级全局insert、update及delete。

PG 15 版本对public模式的 create 权限从public角色回收,普通用户将不能在public模式下创建表。

这篇关于PostgreSQL数据库创建只读用户的权限安全隐患的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/963631

相关文章

最详细安装 PostgreSQL方法及常见问题解决

《最详细安装PostgreSQL方法及常见问题解决》:本文主要介绍最详细安装PostgreSQL方法及常见问题解决,介绍了在Windows系统上安装PostgreSQL及Linux系统上安装Po... 目录一、在 Windows 系统上安装 PostgreSQL1. 下载 PostgreSQL 安装包2.

Mysql用户授权(GRANT)语法及示例解读

《Mysql用户授权(GRANT)语法及示例解读》:本文主要介绍Mysql用户授权(GRANT)语法及示例,具有很好的参考价值,希望对大家有所帮助,如有错误或未考虑完全的地方,望不吝赐教... 目录mysql用户授权(GRANT)语法授予用户权限语法GRANT语句中的<权限类型>的使用WITH GRANT

Spring Security+JWT如何实现前后端分离权限控制

《SpringSecurity+JWT如何实现前后端分离权限控制》本篇将手把手教你用SpringSecurity+JWT搭建一套完整的登录认证与权限控制体系,具有很好的参考价值,希望对大家... 目录Spring Security+JWT实现前后端分离权限控制实战一、为什么要用 JWT?二、JWT 基本结构

数据库面试必备之MySQL中的乐观锁与悲观锁

《数据库面试必备之MySQL中的乐观锁与悲观锁》:本文主要介绍数据库面试必备之MySQL中乐观锁与悲观锁的相关资料,乐观锁适用于读多写少的场景,通过版本号检查避免冲突,而悲观锁适用于写多读少且对数... 目录一、引言二、乐观锁(一)原理(二)应用场景(三)示例代码三、悲观锁(一)原理(二)应用场景(三)示例

Node.js 数据库 CRUD 项目示例详解(完美解决方案)

《Node.js数据库CRUD项目示例详解(完美解决方案)》:本文主要介绍Node.js数据库CRUD项目示例详解(完美解决方案),本文给大家介绍的非常详细,对大家的学习或工作具有一定的参考... 目录项目结构1. 初始化项目2. 配置数据库连接 (config/db.js)3. 创建模型 (models/

Spring Security基于数据库的ABAC属性权限模型实战开发教程

《SpringSecurity基于数据库的ABAC属性权限模型实战开发教程》:本文主要介绍SpringSecurity基于数据库的ABAC属性权限模型实战开发教程,本文给大家介绍的非常详细,对大... 目录1. 前言2. 权限决策依据RBACABAC综合对比3. 数据库表结构说明4. 实战开始5. MyBA

Ubuntu中远程连接Mysql数据库的详细图文教程

《Ubuntu中远程连接Mysql数据库的详细图文教程》Ubuntu是一个以桌面应用为主的Linux发行版操作系统,这篇文章主要为大家详细介绍了Ubuntu中远程连接Mysql数据库的详细图文教程,有... 目录1、版本2、检查有没有mysql2.1 查询是否安装了Mysql包2.2 查看Mysql版本2.

Oracle数据库常见字段类型大全以及超详细解析

《Oracle数据库常见字段类型大全以及超详细解析》在Oracle数据库中查询特定表的字段个数通常需要使用SQL语句来完成,:本文主要介绍Oracle数据库常见字段类型大全以及超详细解析,文中通过... 目录前言一、字符类型(Character)1、CHAR:定长字符数据类型2、VARCHAR2:变长字符数

Win11安装PostgreSQL数据库的两种方式详细步骤

《Win11安装PostgreSQL数据库的两种方式详细步骤》PostgreSQL是备受业界青睐的关系型数据库,尤其是在地理空间和移动领域,:本文主要介绍Win11安装PostgreSQL数据库的... 目录一、exe文件安装 (推荐)下载安装包1. 选择操作系统2. 跳转到EDB(PostgreSQL 的

SpringBoot实现数据库读写分离的3种方法小结

《SpringBoot实现数据库读写分离的3种方法小结》为了提高系统的读写性能和可用性,读写分离是一种经典的数据库架构模式,在SpringBoot应用中,有多种方式可以实现数据库读写分离,本文将介绍三... 目录一、数据库读写分离概述二、方案一:基于AbstractRoutingDataSource实现动态