【DB吐槽大会】第26期 - PG 没有基于角色权限的ACL控制

简介: 大家好,这里是DB吐槽大会,第26期 - PG 没有基于角色权限的ACL控制

背景



1、产品的问题点

  • PG 没有基于角色权限的ACL控制

2、问题点背后涉及的技术原理

  • PG 通过pg_hba.conf 配置访问控制规则, 配置条目包括
# local         DATABASE  USER  METHOD  [OPTIONS]    
# host          DATABASE  USER  ADDRESS  METHOD  [OPTIONS]    
# hostssl       DATABASE  USER  ADDRESS  METHOD  [OPTIONS]    
# hostnossl     DATABASE  USER  ADDRESS  METHOD  [OPTIONS]    
# hostgssenc    DATABASE  USER  ADDRESS  METHOD  [OPTIONS]    
# hostnogssenc  DATABASE  USER  ADDRESS  METHOD  [OPTIONS]    
  • 只能控制到user级别, 而这个USER到底是普通用户还是superuser并不知道
  • 拒绝或允许连接是在建立连接之前完成, 数据库端通过协议层获取到客户连接的username, dbname, IP, 即可通过ACL规则进行判断是否放行.
  • 如果要实现USER对应的角色来进行判定, 需要查询元数据, 使得认证过程变得更复杂.


postgres=# \d pg_shadow     
                       View "pg_catalog.pg_shadow"    
    Column    |           Type           | Collation | Nullable | Default     
--------------+--------------------------+-----------+----------+---------    
 usename      | name                     |           |          |     
 usesysid     | oid                      |           |          |     
 usecreatedb  | boolean                  |           |          |     
 usesuper     | boolean                  |           |          |     
 userepl      | boolean                  |           |          |     
 usebypassrls | boolean                  |           |          |     
 passwd       | text                     | C         |          |     
 valuntil     | timestamp with time zone |           |          |     
 useconfig    | text[]                   | C         |          |     
postgres=# \d pg_roles     
                         View "pg_catalog.pg_roles"    
     Column     |           Type           | Collation | Nullable | Default     
----------------+--------------------------+-----------+----------+---------    
 rolname        | name                     |           |          |     
 rolsuper       | boolean                  |           |          |     
 rolinherit     | boolean                  |           |          |     
 rolcreaterole  | boolean                  |           |          |     
 rolcreatedb    | boolean                  |           |          |     
 rolcanlogin    | boolean                  |           |          |     
 rolreplication | boolean                  |           |          |     
 rolconnlimit   | integer                  |           |          |     
 rolpassword    | text                     |           |          |     
 rolvaliduntil  | timestamp with time zone |           |          |     
 rolbypassrls   | boolean                  |           |          |     
 rolconfig      | text[]                   | C         |          |     
 oid            | oid                      |           |          |     

3、这个问题将影响哪些行业以及业务场景

  • 通用

4、会导致什么问题?

  • 无法满足超级用户角色的通用规则配置, 例如不允许超级用户使用非unix socket端口连接, 这也可能是某些企业的安全规则. 防止超级用户通过tcpip从本地或网络层访问, 造成更大破坏力.

5、业务上应该如何避免这个坑

  • 找到所有的超级用户, 并在pg_hba.conf中逐条配置, 例如
host all sup1,sup2,sup3 0.0.0.0/0 reject    
local all sup1,sup2,sup3 md5    

6、业务上避免这个坑牺牲了什么, 会引入什么新的问题

  • 如果用户的角色权限发生变化, 需要重新调整pg_hba.conf, 管理成本增加, 也容易出现遗漏.

7、数据库未来产品迭代如何修复这个坑

  • 希望内核层支持, 例如使用login hook来进行多重条件判定, 支持更多的规则.



相关文章
|
8月前
|
安全 关系型数据库 数据库
postgresql|数据库|角色(用户)管理工作---授权和去权以及usage和select两种权限的区别
postgresql|数据库|角色(用户)管理工作---授权和去权以及usage和select两种权限的区别
393 0
|
关系型数据库 数据库 数据安全/隐私保护
PostgreSQL技术大讲堂 - Part 6:PG用户与角色管理
PostgreSQL技术大讲堂 - Part 6:PG用户与角色管理
381 1
PostgreSQL技术大讲堂 - Part 6:PG用户与角色管理
|
SQL 关系型数据库 Shell
postgres的用户和角色
为了引导数据库系统,一个刚刚被初始化好的系统总是包含一个预定义角色。
|
关系型数据库 数据库 数据安全/隐私保护
PG 用户(角色)操作
用户(角色)操作
144 0
|
关系型数据库 数据库 PostgreSQL
【DB吐槽大会】第38期 - PG 不能自动创建(扩展)分区
大家好,这里是DB吐槽大会,第38期 - PG 不能自动创建(扩展)分区
|
SQL 存储 关系型数据库
【DB吐槽大会】第60期 - PG 只读实例不支持写操作
大家好,这里是DB吐槽大会,第60期 - PG 只读实例不支持写操作
|
SQL 资源调度 并行计算
【DB吐槽大会】第54期 - PG 资源隔离、管理手段较少
大家好,这里是DB吐槽大会,第54期 - PG 资源隔离、管理手段较少
|
存储 关系型数据库 Serverless
【DB吐槽大会】第68期 - PG server less场景下的quota控制灵活性较弱
大家好,这里是DB吐槽大会,第68期 - PG server less场景下的quota控制灵活性较弱
|
SQL 存储 关系型数据库
【DB吐槽大会】第61期 - PG 审计功能有巨大增强空间
大家好,这里是DB吐槽大会,第61期 - PG 审计功能有巨大增强空间
|
关系型数据库 数据库 数据库管理