Oracle最佳替代者PostgreSQL數(shù)據(jù)庫的整體安全性

gljin_cn 2015-03-18

展開全文

數(shù)據(jù)庫安全性是如今基于 Web 的應(yīng)用程序面對的最大挑戰(zhàn)。如果不加以控制，您將面臨公司敏感信息被曝光的風(fēng)險，更糟糕的是，珍貴的客戶信息也將面臨被泄露的風(fēng)險。在本文中，了解可以用來保護您的 PostgreSQL 數(shù)據(jù)庫的安全措施。

簡介

報紙上經(jīng)常出現(xiàn)黑客襲擊企業(yè)數(shù)據(jù)庫的報道。大多數(shù)攻擊由叛逆的未成年人發(fā)起的日子已經(jīng)一去不復(fù)返。如今，數(shù)據(jù)收集成為了一項重要的事業(yè)，并且由在企業(yè)基礎(chǔ)設(shè)施中工作的專家專門負(fù)責(zé)。問題已經(jīng)不再是您如何阻止未授權(quán)的訪問企圖 — 您無法阻止 — 而在于您在發(fā)生這種情況時如何降低影響。

本文討論了在保護您的 PostgreSQL（也稱為 Postgres）數(shù)據(jù)庫服務(wù)器時遇到的挑戰(zhàn)。PostgreSQL 是一款強大的開源對象-關(guān)系數(shù)據(jù)庫系統(tǒng)。它擁有一個可靠的架構(gòu)并以可靠性、數(shù)據(jù)完整性和準(zhǔn)確性著稱。它運行在所有主流操作系統(tǒng)之上，包括 Linux?、UNIX? 和 Windows?。它與 ACID 完全兼容，并且充分支持外鍵、連接、視圖、觸發(fā)器和存儲過程（支持多種語言）。

理想的管理員

在傳統(tǒng)的 UNIX 中，PostgreSQL 被進(jìn)行了重新設(shè)計來補充它所依附的操作系統(tǒng)。要最大限度地發(fā)掘 PostgreSQL 的價值，所需要的知識超過了一般數(shù)據(jù)庫管理員（DBA）所要求具備的技能。

簡單來說，一名合格的 PostgreSQL DBA 需要具備以下背景：

·了解關(guān)系理論并熟悉 SQL'92, '99, 和 2003。
·知道如何閱讀源代碼，特別是 C 代碼，并且能夠在 Linux 上編譯源代碼。
·能夠管理系統(tǒng)并熟悉 system-V UNIX 或 Linux。
·能夠維護（如果需要的話）IT 組織中出現(xiàn)的各種典型硬件項目。理解 TCP OS 層，能夠?qū)⒕W(wǎng)絡(luò)分為子網(wǎng)，調(diào)優(yōu)防火墻，等等。
許多 DBA 只具備管理、監(jiān)控和調(diào)優(yōu)數(shù)據(jù)庫本身的技能。然而，PostgreSQL 在構(gòu)建時也考慮了 OS 工具。當(dāng)然，很少有 DBA 精通所有學(xué)科的知識，但是擁有這些知識使 PostgreSQL DBA 能夠用更少的時間完成更多的工作，而通過其他方式是無法辦到的。

訪問權(quán)限回顧

如果您要了解可能的攻擊媒介（attack vector），那么了解數(shù)據(jù)庫角色的作用是非常重要的。首先，您需要通過授予和撤銷權(quán)限來控制對數(shù)據(jù)的訪問。

角色、授予權(quán)限和特權(quán)

一個具有默認(rèn)權(quán)限和特權(quán)的普通角色的安全性究竟如何？用戶帳戶可以通過以下命令的其中之一創(chuàng)建：

·SQL 語句 CREATE USER
·SQL 語句 CREATE ROLE
·Postgres 命令行實用程序 createuser
這三種創(chuàng)建用戶帳戶的方法表現(xiàn)出不同的行為，并導(dǎo)致產(chǎn)生截然不同的默認(rèn)權(quán)限和特權(quán)。

對于一個普通角色，典型的用戶可以執(zhí)行下面的操作：

·如果數(shù)據(jù)集群使用如 pg_hba.conf 中描述的默認(rèn)身份驗證策略，那么用戶可以訪問任何數(shù)據(jù)庫。
·在用戶可以訪問的任何數(shù)據(jù)庫的 PUBLIC 模式中創(chuàng)建對象。
·在臨時會話中創(chuàng)建會話（臨時）對象，比如模式 pg_temp_?
·修改運行時參數(shù)。
·創(chuàng)建用戶定義函數(shù)
·執(zhí)行在 PUBLIC 模式中由其他用戶創(chuàng)建的用戶定義函數(shù)（只要處理的是用戶有權(quán)訪問的對象。
一定要清楚用戶所具有的權(quán)限，但是，了解普通用戶在默認(rèn)情況下不可以做什么也同樣重要。普通用戶無權(quán)執(zhí)行以下操作：

·創(chuàng)建數(shù)據(jù)庫或模式。
·創(chuàng)建其他用戶。
·訪問由其他用戶創(chuàng)建的對象。
·登錄（只適合語句 CREATE ROLE）。
超級用戶權(quán)限和特權(quán)

盡管普通用戶無權(quán)執(zhí)行被定義為超級用戶功能的權(quán)限和特權(quán)，但是普通用戶仍然會引起一些與默認(rèn)權(quán)限和特權(quán)有關(guān)的問題。

本文將討論一些可由普通用戶操作的攻擊媒介。

訪問對象

一項極其常見且不太安全的實踐發(fā)生在將 PostgreSQL 用作 Web 服務(wù)器的后端時。開發(fā)人員創(chuàng)建普通用戶的目的只是讓其使用 INSERT、UPDATE 和 DELETE 命令來執(zhí)行數(shù)據(jù)操作命令。然而，未經(jīng)授權(quán)的操作也可能會被執(zhí)行，因為 PUBLIC 模式是公開給所有人的。例如，用戶可以對這些表進(jìn)行數(shù)據(jù)挖掘。甚至還可以對表進(jìn)行修改：添加規(guī)則和觸發(fā)器、將數(shù)據(jù)保存到 PUBLIC 模式中的表，隨后這些數(shù)據(jù)就會被收集。

記住，一個被盜用的用戶帳戶可以對它所擁有的對象做任何事情。

對這類威脅的反擊很簡單：不要讓普通用戶訪問或創(chuàng)建任何內(nèi)容。清單 1 展示了如何對一個表提供保護。

清單 1. 對表提供保護

postgres=# SET SESSION AUTHORIZATION postgres;SETpostgres=# CREATE ROLE user1 WITH LOGIN UNENCRYPTED PASSWORD '123';CREATE ROLEpostgres=# CREATE SCHEMA user1 CREATE TABLE t1(i int);CREATE SCHEMApostgres=# INSERT INTO user1.t1 VALUES(1);INSERT 0 1postgres=# GRANT USAGE ON SCHEMA user1 TO user1;GRANTpostgres=# SELECT I FROM user1.t1; i--- 2(1 row)postgres=# SET SESSION AUTHORIZATION user1;SETpostgres=> SELECT I FROM user1.t1;ERROR: permission denied for relation t1postgres=> SET SESSION AUTHORIZATION postgres;SETpostgres=# GRANT SELECT ON user1.t1 TO user1;GRANTpostgres=# SET SESSION AUTHORIZATION user1;SETpostgres=> SELECT I FROM user1.t1; i--- 2(1 row)

清單 2 演示了對 PUBLIC 模式的訪問被禁止。

清單 2. 禁止角色 user1 創(chuàng)建任何實體

postgres=> SET SESSION AUTHORIZATION postgres;SETpostgres=# REVOKE ALL PRIVILEGES ON SCHEMA PUBLIC FROM user1;REVOKEpostgres=# SET SESSION AUTHORIZATION user1;SETThe error message of "ERROR: permission denied for schema user1" means that this defensive measure works:postgres=> CREATE TABLE X;ERROR: permission denied for schema user1

訪問由其他用戶控制的對象

如下面清單 3 所示的攻擊媒介假設(shè)用戶可以訪問 PUBLIC 模式；例如，GRANT USAGE ON SCHEMA PUBLIC TO user1。它以下面的假設(shè)作為前提：

·所有用戶在默認(rèn)情況下都有權(quán)訪問集群中的任何數(shù)據(jù)庫。
·假設(shè)集群允許用戶創(chuàng)建并操作 PUBLIC 模式中的所有實體。
·一個普通用戶帳戶有權(quán)訪問系統(tǒng)目錄。否則，用戶帳戶不能正常工作（固有的 PostgreSQL 服務(wù)器行為）。

清單 3. 收集有關(guān)表的信息

盡管可能無法訪問表，但是用戶仍然可以收集有關(guān)表的信息。

清單 4 展示了用戶帳戶 user1 獲取了一組用戶帳戶及其各自的屬性。普通用戶自己無法訪問密碼。

清單 4. 獲取用戶帳戶的屬性

postgres=> select * from pg_user; usename | usesysid | usecreatedb | usesuper | usecatupd | passwd | valuntil | useconfig----------+----------+-------------+----------+-----------+----------+----------postgres | 10 | t | t | t | ******** | | user1 | 18770 | f | f | f | ******** | |(2 rows)

所有用戶默認(rèn)情況下都能夠獲得集群的定義和模式。

清單 5 展示了一個可以獲得有關(guān)集群完整定義模式的信息的腳本，方法就是查詢系統(tǒng)目錄。系統(tǒng)目錄可以被超級用戶修改或解密，從而減輕了這一威脅。

清單 5. 提取集群范圍內(nèi)的定義

#!/bin/bashpsql mydatabase << _eof_set search_path=public,information_schema,pg_catalog,pg_toast;\t\o list.txtSELECT n.nspname||'.'||c.relname as "Table Name"FROM pg_catalog.pg_class c JOIN pg_catalog.pg_roles r ON r.oid = c.relowner LEFT JOIN pg_catalog.pg_namespace n ON n.oid = c.relnamespaceWHERE c.relkind IN ('r','')ORDER BY 1;\q_eof_for i in $( cat list.txt ); do psql -c "\d $i"done

創(chuàng)建和訪問由用戶定義的函數(shù)

函數(shù)也分為可信的或不可信的?？尚诺?過程語言在數(shù)據(jù)庫上下文內(nèi)執(zhí)行指令，比如創(chuàng)建表、索引，添加或移除數(shù)據(jù)，等等。不可信的過程語言（除了可信的特性外）也能夠影響真實的世界，比如列出目錄的內(nèi)容，創(chuàng)建或刪除文件，調(diào)用系統(tǒng)進(jìn)程，甚至是創(chuàng)建與其他主機的套接字連接。

清單 6. 向數(shù)據(jù)庫添加過程語言并恢復(fù)對 user1 的訪問

postgres=# create language plpgsql;CREATE LANGUAGEpostgres=# create language plperlu;CREATE LANGUAGEpostgres=# create language plperl;CREATE LANGUAGEpostgres=> SET SESSION AUTHORIZATION postgres;SETpostgres=# GRANT USAGE ON SCHEMA PUBLIC TO user1;GRANT

清單 7. 可信 vs. 不可信過程語言

與表不同的是，普通用戶帳戶在調(diào)用某些用戶的函數(shù)時不需要特殊權(quán)限，即使是由超級用戶創(chuàng)建的函數(shù)也是如此。

清單 8. 調(diào)用超級用戶的函數(shù)

postgres=# SET SESSION AUTHORIZATION postgres;SETpostgres=# CREATE OR REPLACE FUNCTION public.f1 (postgres(# OUT x textpostgres(# ) ASpostgres-# $body$postgres$# select 'hello from f1'::text;postgres$# $body$postgres-# LANGUAGE SQL;CREATE FUNCTIONpostgres=# SET SESSION AUTHORIZATION user1;SETpostgres=>postgres=> SELECT * FROM f1; x----------------- hello from f1(1 row)

下面清單 9 中的函數(shù)由超級用戶通過 plperlu 創(chuàng)建。它返回目錄的內(nèi)容；user1 可以調(diào)用這個函數(shù)。一個普通用戶可以同時調(diào)用可信函數(shù)和不可信函數(shù)。要應(yīng)對這種威脅，最好的方法是通過撤銷權(quán)限來拒絕對函數(shù)的訪問。

清單 9. 函數(shù)被未授權(quán)的用戶利用

postgres=> SET SESSION AUTHORIZATION postgres;SETpostgres=# CREATE OR REPLACE FUNCTION public.f2 (postgres(# OUT x textpostgres(# ) ASpostgres-# $body$postgres$# # output the root directory contents into standard outputpostgres$# # notice the use of the single back tickspostgres$# $a = `ls -l / 2>/dev/null`;postgres$# $message = "\nHere is the directory listing\n".$a;postgres$# return $message;postgres$# $body$postgres-# LANGUAGE PLPERLU;CREATE FUNCTIONpostgres=# SET SESSION AUTHORIZATION user1;SETpostgres=> SELECT * FROM f2; x---------------------------------------------------------------------------- Here is the directory listing total 120 drwxr-xr-x 2 root root 4096 Aug 29 07:03 bin drwxr-xr-x 3 root root 4096 Oct 11 05:17 boot drwxr-xr-x 3 root root 4096 Nov 26 2006 build lrwxrwxrwx 1 root root 11 Aug 22 2006 cdrom -> media/cdrom drwxr-xr-x 15 root root 14960 Oct 12 07:35 dev drwxr-xr-x 118 root root 8192 Oct 12 07:36 etc(1 row)

清單 10. 針對 user1 和組 PUBLIC 提供保護

postgres=# SET SESSION AUTHORIZATION postgres;SETpostgres=# REVOKE ALL ON FUNCTION f2 FROM user1, GROUP PUBLIC;REVOKEpostgres=# SET SESSION AUTHORIZATION user1;SETpostgres=> SELECT * FROM f2;ERROR: permission denied for function f2postgres=>

清單 11 展示了信息收集。

清單 11. 獲取函數(shù)的源代碼

postgres=> SET SESSION AUTHORIZATION user1;SETpostgres=> select prosrc as "function f3" from pg_proc where proname='f3'; function f3---------------# output the root directory contents into standard output# notice the use of the single back ticks $a = `ls -l / 2>/dev/null`; $message = "\nHere is the directory listing\n".$a; return $message;(1 row)

要隱藏這些源代碼：

·使用原生語言環(huán)境（C、Perl、Python 等）將函數(shù)編寫為一個模塊并存儲到主機的硬盤中。隨后在 PostgreSQL 中創(chuàng)建一個抽象的用戶定義函數(shù)來調(diào)用該模塊。
·考慮在一個表中編寫源代碼并在需要時動態(tài)創(chuàng)建函數(shù)。
·在集群的另一個數(shù)據(jù)庫中編寫您的用戶定義函數(shù)，該函數(shù)將由另一個已授權(quán)用戶帳戶通過 dblink 模塊調(diào)用。
使用 security definer

security definer 使用創(chuàng)建函數(shù)的用戶所擁有的特權(quán)執(zhí)行函數(shù)。因此，用戶可以訪問在平常狀態(tài)下不可用的表。

例如，如清單 12 所示，一個包含兩個列的表在模式 Postgres 中由超級用戶 postgres 創(chuàng)建。普通用戶 user1 將使用 security definer 參數(shù)調(diào)用該函數(shù)并根據(jù)輸入值獲得一個值。

清單 12. 創(chuàng)建一個表和函數(shù)

postgres=# SET SESSION AUTHORIZATION postgres;SETpostgres=# CREATE TABLE postgres.t4(x serial,y numeric);NOTICE: CREATE TABLE will create implicit sequence "t4_x_seq" for serial column "t4.x"CREATE TABLEpostgres=# INSERT INTO postgres.t4(y) VALUES (random::numeric(4,3));INSERT 0 1postgres=# INSERT INTO postgres.t4(y) VALUES (random::numeric(4,3));INSERT 0 1postgres=# INSERT INTO postgres.t4(y) VALUES (random::numeric(4,3));INSERT 0 1postgres=# INSERT INTO postgres.t4(y) VALUES (random::numeric(4,3));INSERT 0 1postgres=# INSERT INTO postgres.t4(y) VALUES (random::numeric(4,3));INSERT 0 1postgres=# CREATE OR REPLACE FUNCTION public.f4 (postgres(# IN a int,postgres(# OUT b numericpostgres(# ) RETURNS SETOF numeric ASpostgres-# $body$postgres$# select y from postgres.t4 where x=$1 limit 1;postgres$# $body$postgres-# LANGUAGE SQL SECURITY DEFINER;CREATE FUNCTION

清單 13 表明用戶帳戶 user1 現(xiàn)在可以訪問所需的信息。

清單 13. 未授權(quán)角色通過一個函數(shù)調(diào)用訪問表

postgres=# SET SESSION AUTHORIZATION user1;SETpostgres=> SELECT b as "my first record" FROM f4(1); my first record----------------- 0.379(1 row)postgres=> SELECT b as "my second record" FROM f4(2); my second record------------------ 0.200(1 row) 破解 PostgreSQL 密碼

有效的密碼管理是保證 DBMS 安全性的關(guān)鍵。DBA 的職責(zé)就是實施一項獲得認(rèn)可的密碼策略。密碼應(yīng)當(dāng)由隨機選擇的字符組成，這些字符不具備可識別的模式。常見實踐表明密碼至少應(yīng)有 6 個字符并且需要經(jīng)常更換。

PostgreSQL 用戶帳戶和密碼

PostgreSQL 用戶帳戶安全策略主要與創(chuàng)建和管理用戶帳戶的 SQL 命令有關(guān)：

·CREATE ROLE
·ALTER ROLE
·DROP ROLE
下面的 SQL 語句屬于比較舊的用戶帳戶管理（盡管有效，您仍然應(yīng)當(dāng)使用較新的技術(shù)管理用戶角色）：

·CREATE GROUP
·ALTER GROUP
·DROP GROUP
·CREATE USER
·ALTER USER
·DROP USER
密碼可以以加密或非加密形式保存。非加密密碼以明文形式存儲，并且可以被超級用戶讀取。密碼的加密包括生成并存儲其 MD5 散列，MD5 散列是無法讀取的。要在登錄時對密碼進(jìn)行驗證，需要對密碼進(jìn)行散列化并將其與已經(jīng)存儲在數(shù)據(jù)集群中的密碼進(jìn)行比較。

下面是一些創(chuàng)建和管理密碼的示例方法：

·未使用密碼創(chuàng)建帳戶： CREATE ROLE user1 WITH LOGIN;

·使用未加密密碼創(chuàng)建帳戶： CREATE ROLE roger WITH LOGIN UNENCRYPTED PASSWORD '123'

·修改帳戶并分配一個加密過的密碼： ALTER ROLE user1 WITH ENCRYPTED PASSWORD '123'

由超級用戶對目錄表 pg_shadow 執(zhí)行一個 SQL 查詢，結(jié)果返回用戶帳戶名及其密碼。清單 4 展示了代碼。

清單 14. 從目錄獲得用戶的密碼

postgres=# select usename as useraccount,passwd as "password" from pg_shadow wherelength(passwd)>1 order by usename; useraccount | password-------------+------------------------------------- user1 | md5173ca5050c91b538b6bf1f685b262b35 roger | 123(2 rows)

清單 15 展示了如何為使用密碼 123 的 user1 生成 MD5 散列。

清單 15. 生成 MD5 密碼

postgres=# select 'md5'||md5('123user1') as "my own generated hash", passwd as "stored hash for user1" from pg_shadow where usename='user1'; my own generated hash | stored hash for user1-------------------------------------+------------------------------------- md5173ca5050c91b538b6bf1f685b262b35 | md5173ca5050c91b538b6bf1f685b262b35(1 row)

準(zhǔn)備好再受一次驚嚇了嗎？PostgreSQL 幾乎沒有提供任何機制以實施可靠的密碼策略。

可能的安全局限性包括：

·超級用戶無法對將用于密碼的字符限制最小字符數(shù)。
·盡管針對如何保存密碼（未加密的或已加密的 MD5 散列）的配置設(shè)置提供了一個默認(rèn)參數(shù)，超級用戶無法強制用戶使用特定的存儲方法。
·不存在對用戶帳戶施加生命周期的機制。
·在集群的客戶機身份驗證配置文件 pg_hba.conf 中，當(dāng)連接方法不是 PASSWORD 或 MD5 時，控制用戶帳戶的有效生命周期的機制將變得無關(guān)緊要。
·由 ALTER ROLE 語句修改的用戶運行時參數(shù)，以及由超級用戶或文件 postgresql.conf 中的默認(rèn)配置設(shè)置的參數(shù)，都可以由用戶帳戶的所有者隨意修改。
·重命名一個用戶帳戶將清除該帳戶的密碼，如果已被加密的話。
·無法跟蹤誰對用戶帳戶做了修改或何時做了修改。
一個具有精心系統(tǒng)目錄設(shè)計的強有力的架構(gòu)可以為隨時保持警惕的 DBA 帶來回報。

由于存在各種各樣的危害，因此有關(guān)用戶帳戶和密碼的安全局限性需要用另一篇文章單獨詳細(xì)介紹。

破解密碼

實施一個強類型的密碼是值得的，但是沒有辦法去判斷它的強度，除非有人破解它。破解實用程序主要基于兩種方法，如下所示。

蠻力攻擊（Brute force）
針對散列的系統(tǒng)化測試。它以一些字母為起點，隨著攻擊的繼續(xù)不斷增加字母的長度。這種方法被建議用于測試較短的密碼。
字典攻擊（Dictionary attack）
使用一種社會工程（social-engineering）方法。破解程序使用一個單詞字典作為起點。此后，不斷組合這些單詞并針對捕捉到的散列進(jìn)行測試。這種攻擊利用了一種錯誤的觀念，即由有助于記憶的字符串和字符組合組成的長字符串要比由隨機字符組成的稍微短一些的字符串更加安全。
根據(jù)密碼的強度以及使用的硬件，用于解密的時間可能從幾秒到幾個月不等。

DBA 對識別長度小于 6 個字符的密碼比較感興趣。

命令行實用工具 MDCrack 使用蠻力攻擊法測試密碼。這個 Windows 二進(jìn)制工具在 Linux under Wine 上也可以很好地工作。

輸入 wine MDCrack-sse.exe --help 將返回配置參數(shù)（switch）。其中一些如下面所示：

Usage: MDCrack [options...] --test-hash|hash MDCrack [options...] --bench[=PASS] MDCrack [options...] --resume[=FILENAME]|--delete[=FILENAME] MDCrack [options...] --help|--about

最簡單的命令行調(diào)用是 wine MDCrack-sse.exe --algorithm=MD5 --append=$USERNAME $MD5_HASH，其中 $USERNAME 為用戶名，而 $MD5_HASH 是 pg_shadow 目錄文件中的 MD5 散列。

如下所示，MDCrack 可以在會話模式下運行，因此您可以停止一個解密操作并在稍后繼續(xù)執(zhí)行。

清單 16. 在會話模式下運行的 MDCrack

# start sessionwine MDCrack-sse.exe --algorithm=MD5 --append=$USERNAME $MD5_HASH\ --session=mysessionfile.txt# resume using the last session modewine MDCrack-sse.exe --algorithm=MD5 --append=$USERNAME $MD5_HASH\ --resume=mysessionfile.txt

默認(rèn)字符集為 abcdefghijklmnopqrstuvwxyz0123456789ABCDEFGHIJKLMNOPQRSTUVWXYZ。如果要測試的密碼包含了不屬于默認(rèn)字符集的字符，那么您可以中止進(jìn)程。您可以將其修改為由字母和數(shù)字字符組成的任意組合。例如，您可能希望包含控制字符和標(biāo)點符號。

調(diào)整字符集是在命令行中完成的。變量 $CHARSET 表示將要使用的實際字符集：

wine MDCrack-sse.exe --algorithm=MD5 --append=$USERNAME $MD5_HASH --charset=$CHARSET

下面的示例將修改 Postgres 密碼 123。如果忽略前三個字符，那么將得到 MD5 散列值 md5173ca5050c91b538b6bf1f685b262b35。您可以通過以下調(diào)用確定密碼（提示：對字符串 Collision found 執(zhí)行 grep 命令）。這次解密用了大約 0.32 秒：

wine MDCrack-sse.exe --algorithm=MD5 --append=user1 173ca5050c91b538b6bf1f685b262b35\| grep "Collision found"

清單 17 演示了在系統(tǒng)目錄 pg_shadow 中解密密碼。

清單 17. 解密密碼

wine MDCrack-sse.exe --algorithm=MD5 --append=user1 \`psql -t -c "select substring(passwd,4) from pg_shadow where usename='user1';"` \| grep "Collision found" 身份驗證模型

您已經(jīng)知道了哪些部分會出現(xiàn)問題，現(xiàn)在讓我們看看采取哪些措施來糾正錯誤。身份驗證是一個龐大的主題，因此這里只涉及一些基本的知識。

在 “身份驗證” 這一龐大主題下，可以用許多種方法控制對 Postgres 集群的訪問：

·UNIX 域套接字
·Ident 服務(wù)器身份驗證
·LDAP 服務(wù)器身份驗證
·PAM
·Kerberos
·SSL
UNIX 域套接字

一個 UNIX 域套接字就是一個雙向通信管道，它在許多方面與文件相似。服務(wù)器創(chuàng)建域套接字，域套接字等待客戶機通過文件系統(tǒng)打開文件。一個典型的 PostgreSQL 域套接字如下所示。

清單 18. 典型的域套接字

robert@wolf:~$ ls -la /tmp|grep PGSQLsrwxrwxrwx 1 robert robert 0 2007-10-15 12:47 .s.PGSQL.5432-rw------- 1 robert robert 33 2007-10-15 12:47 .s.PGSQL.5432.lock

注意，端口號被附加到文件名的末尾。將服務(wù)器重新配置為使用一個不同的 TCP/IP 端口也將改變域套接字的名稱。

postgresql.conf 配置文件中的三個參數(shù)將控制對域套接字的權(quán)限：

·unix_socket_directory（文件 PATH）
·unix_socket_group（用戶組）
·unix_socket_permissions（默認(rèn)為 0777）
域套接字的位置因 Linux 發(fā)行版而異：

·PostgreSQL 源代碼安裝并將套接字放到 /tmp 目錄。
·BSD 將套接字放到 /tmp 目錄。
·RedHat 衍生系統(tǒng)將套接字放到 /tmp 目錄。
·Debian 衍生系統(tǒng)將套接字放到 /var/run/postgresql 且只具有對 postgresqlaccount 的權(quán)限。
域套接字有一些比較特別的方面?？紤]下面這個例子。

在 robert（超級用戶）的主目錄中創(chuàng)建一個集群，并對可信性進(jìn)行了驗證。但是，在服務(wù)器啟動時，域套接字的權(quán)限只允許除 robert 以外的用戶登錄。用戶 robert 使用 TCP 登錄，但是被域套接字拒絕。然而，robert 在對 nobody 執(zhí)行 sudo 后，他就可以通過域套接字登錄。

這個例子展示了文件權(quán)限的多樣性，從而減輕由于駭客成為超級用戶而引起的破壞。

清單 19. 權(quán)限

robert@wolf:~$ initdb -A trust -U postgres ~/datarobert@wolf:~$ pg_ctl -D ~/data/ -l ~/logfile.txt \-o "-c unix_socket_permissions=007 -c unix_socket_directory=/tmp" startserver startingrobert@wolf:~$ psql -h localhost -U postgres -c "select 'superuser:this works' as msg" msg---------------------- superuser:this works(1 row)robert@wolf:~$ psql -h /tmp -U postgres -c "select 'superuser:this fails' as msg"psql: could not connect to server: Permission denied Is the server running locally and accepting connections on Unix domain socket "/tmp/.s.PGSQL.5432"?robert@wolf:~$ sudo su nobody[sudo] password for robert:$ psql -h localhost -U postgres -c "select 'nobody:this works' as msg" msg------------------- nobody:this works(1 row)$ psql -h /tmp -U postgres -c "select 'nobody:this still works' as msg" msg------------------------- nobody:this still works(1 row)

Ident

Ident 服務(wù)器回答了一個簡單的問題：哪些用戶從您的端口 X 發(fā)起連接并連接到我的端口 Y？在 PostgreSQL 服務(wù)器的環(huán)境下，它將通知正在嘗試登錄的用戶帳戶的 Identity 所在的 DBMS。PostgreSQL 隨后獲得這個問題的答案，并根據(jù)由 DBA 在相應(yīng)配置文件中配置的規(guī)則集允許或拒絕登錄。

PostgreSQL Ident 服務(wù)器身份驗證機制的工作原理是使用主機自己的 Ident 服務(wù)器，將 PostgreSQL 用戶帳戶映射到 UNIX 用戶帳戶。

下面的例子假設(shè)所有 UNIX 用戶帳戶都已經(jīng)被映射到 PostgreSQL 中，能夠登錄到任何數(shù)據(jù)庫，前提是它們在 PostgreSQL 中使用相同的帳戶名。如果 UNIX 用戶名在 PostgreSQL 服務(wù)器中不存在對應(yīng)的用戶名，或者如果嘗試使用另一個用戶帳戶名登錄，那么登錄將失敗。

假設(shè)您已經(jīng)通過 SSH 連接到主機：ssh -l robert wolf。

清單 20. 失敗的和成功的登錄

robert@wolf:~$ psql -U robert robertWelcome to psql 8.2.4, the PostgreSQL interactive terminal.Type: \copyright for distribution terms \h for help with SQL commands \? for help with psql commands \g or terminate with semicolon to execute query \q to quitrobert@wolf:~$ psql -U postgres robertpsql: FATAL: Ident authentication failed for user "postgres"-- This works, su to become the UNIX user account postgres

PostgreSQL 使用兩個文件管理并控制已通過 Ident 服務(wù)器身份驗證的用戶的所有登錄會話：

pg_hba.conf
通過一個文件中定義的記錄控制訪問。
pg_Ident.conf
當(dāng) Ident 服務(wù)被用作用戶帳戶的認(rèn)證者（authenticator）時發(fā)揮作用。比如，METHOD 在 pg_hba.conf 文件中被識別為 Ident。

清單 21. 簡單配置示例

Example 1: A LOCALHOST connection enforces unix account robert to access database robert exclusively. There is no authentication on UNIX domain sockets.(pg_hba.conf)# TYPE DATABASE USER CIDR-ADDRESS METHOD OPTION host all all 127.0.0.1/32 Ident mymap local all all trust(pg_Ident.conf)# MAPNAME Ident-USERNAME PG-USERNAME mymap robert robertExample 2: A domain socket connection enforces unix account robert to access any database as pg account robert; unix account postgres can access any database as user robert.(pg_hba.conf)# TYPE DATABASE USER CIDR-ADDRESS METHOD OPTION local all all Ident mymap host all all 127.0.0.1/32 trust(pg_Ident.conf)# MAPNAME Ident-USERNAME PG-USERNAME mymap robert robert mymap postgres robertExample 3: A domain socket connection enforces that unix account can connect to any database with its postgres database namesake using thekeyword "sameuser". pg_Ident.conf is not necessary here. Local host connections via TCP-IP are rejected.(pg_hba.conf)# TYPE DATABASE USER CIDR-ADDRESS METHOD OPTION local template0,template1 all Ident sameuser host all all 127.0.0.1/32 rejectEx4: (all users can connect with their own user names only to the databases postgres and robert)(pg_hba.conf)# TYPE DATABASE USER CIDR-ADDRESS METHOD OPTION local template0,template1 all Ident sameuser

牢記下面的注意事項：

·配置修改在您重新加載文件后立即生效，比如重新加載 pg_ctl -D mycluster。
·不同的配置設(shè)置會引起奇怪的行為。在日志中查看失敗的配置消息。
·當(dāng)機器本身被認(rèn)為是安全的時，將設(shè)計并實現(xiàn) Ident。任何試圖進(jìn)行身份驗證的遠(yuǎn)程服務(wù)器都應(yīng)當(dāng)被認(rèn)為是可疑對象。
·Ident 服務(wù)器只用于對本地主機連接進(jìn)行身份驗證。
數(shù)據(jù)加密

有許多種方式會使您不經(jīng)意地將自己暴露給 intranet 內(nèi)部的駭客。

讓我們來執(zhí)行一次嗅探（sniff）。假設(shè)您在自己的本地主機 192.168.2.64 上執(zhí)行以下命令：tcpdump -i eth0 -X -s 3000 host 192.168.2.100 and port 5432。

在一個遠(yuǎn)程主機 192.168.2.100 上，您連接到您的本地主機的 PostgreSQL 服務(wù)器，后者已經(jīng)在偵聽端口 5432：psql -h 192.168.2.64 -p 5432 -U postgres postgres。注意修改您的超級用戶帳戶 postgres 的密碼：ALTER USER postgres WITH ENCRYPTED PASSWORD 'my_new_password';。

清單 22. 在被嗅探的數(shù)據(jù)轉(zhuǎn)儲中識別密碼

16:39:17.323806 IP wolf.56336 > laptop.postgresql: P 598:666(68) ack 470 win 3068 0x0000: 4500 0078 4703 4000 4006 6d88 c0a8 0264 E..xG.@.@.m....d 0x0010: c0a8 0240 dc10 1538 6a4f 7ada 6a71 e77c ...@...8jOz.jq.| 0x0020: 8018 0bfc 1a9d 0000 0101 080a 0094 a187 ................ 0x0030: 0092 53a2 5100 0000 4341 4c54 4552 2055 ..S.Q...CALTER.U 0x0040: 5345 5220 706f 7374 6772 6573 2057 4954 SER.postgres.WIT 0x0050: 4820 454e 4352 5950 5445 4420 5041 5353 H.ENCRYPTED.PASS 0x0060: 574f 5244 2027 6d79 5f6e 6577 5f70 6173 WORD.'my_new_pas 0x0070: 7377 6f72 6427 3b00 sword';.

SSH 隧道使用端口轉(zhuǎn)發(fā)

IP 轉(zhuǎn)發(fā)是一項隧道（tunneling）技術(shù)，它可以將 Internet 包從一臺主機轉(zhuǎn)發(fā)到另一臺主機。它允許您的 PostgreSQL 客戶機，比如 psql、pgadmin 甚至 openoffice，通過一個 SSH 連接與遠(yuǎn)程 Postgres 服務(wù)器建立聯(lián)系。

考慮下面的問題：

·如果遠(yuǎn)程 PostgreSQL 服務(wù)器上不存在 psql 客戶機，會發(fā)生什么？
·如果需要在您的工作站和遠(yuǎn)程主機之間上傳或下載數(shù)據(jù)，會發(fā)生什么？
·如果需要使用數(shù)據(jù)庫客戶機來執(zhí)行 psql 客戶機無法很好地執(zhí)行或根本無法執(zhí)行的任務(wù)，該怎么做？
·如何對網(wǎng)絡(luò)使用隧道，從而使您的團隊能夠遠(yuǎn)程連接到防火墻后面的數(shù)據(jù)庫？
這個例子將一個客戶機（本地主機）連接到一臺遠(yuǎn)程主機（192.168.2.100）。在工作站的端口 10000 創(chuàng)建了一個代理連接?？蛻魴C連接到端口 10000 后，被轉(zhuǎn)發(fā)到遠(yuǎn)程主機的 PostgreSQL 服務(wù)器，后者正在偵聽端口 5432：ssh -L 10000:localhost:5432 192.168.2.100。

添加 -g 參數(shù)（switch）允許其他主機利用您的轉(zhuǎn)發(fā)連接，這使得連接成為了專門用于 Postgres 連接的即時虛擬專有網(wǎng)（VPN）：ssh -g -L 10000:localhost:5432 192.168.2.100.

有關(guān)隧道的一些注意事項：

·數(shù)據(jù)庫客戶機和服務(wù)器都被認(rèn)為它們正在與各自的本地主機通信。
·注意要配置文件 pg_hba.conf 以使用 TCP/IP 為本地主機連接設(shè)置正確的身份驗證。
·1024 以內(nèi)的端口全部由根用戶控制。
·SSH 會話需要在 PostgreSQL/SSH 服務(wù)器上有一個已有的用戶帳戶。
由 SSL 加密的會話

PostgreSQL 中的加密會話要求服務(wù)器通過 --with-openssl 參數(shù)進(jìn)行編譯。Linux 發(fā)行版二進(jìn)制文件提供了這個功能。諸如 psql 和 pgadmin 之類的客戶機也具有這類必需的功能。

可以使用 pg_config 命令行工具對服務(wù)器進(jìn)行檢驗，如下所示。

pg_config --configure

針對加密會話配置 PostgreSQL 服務(wù)器：

1.使用 OpenSSL 命令行工具 openssl 創(chuàng)建一個自簽名的服務(wù)器密匙（server.key）和證書（server.crt）。
1.創(chuàng)建服務(wù)器密匙：openssl genrsa -des3 -out server.key 1024。
2.刪除密碼 openssl rsa -in server.key -out server.key。
3.為服務(wù)器創(chuàng)建一個自簽名的證書：openssl req -new -key server.key -x509 -out server.crt。
2.將 server.key 和 server.crt 這兩個文件安裝到數(shù)據(jù)集群的目錄中。
3.編輯 postgresql.conf 文件并設(shè)置指定的對：ssl = on。
4.重啟服務(wù)器。

清單 23. 成功的 SSL 加密會話連接
robert@wolf:~$ psql -h 192.168.2.100 -U robertWelcome to psql 8.2.4, the PostgreSQL interactive terminal.Type: \copyright for distribution terms \h for help with SQL commands \? for help with psql commands \g or terminate with semicolon to execute query \q to quitSSL connection (cipher: DHE-RSA-AES256-SHA, bits: 256)robert=#

服務(wù)器將始終針對已加密的會話請求測試連接。然而，通過編輯身份驗證文件 pg_hba.conf，您可以控制服務(wù)器的行為。在客戶機端，可以通過定義環(huán)境變量 PGSSLMODE 來控制客戶機（psql）的默認(rèn)行為：是否使用加密的會話。

共有 6 種模式（其中兩種新模式特別針對 V8.4）。

模式描述
disable 將只嘗試未加密的 SSL 連接。
allow 首先嘗試未加密的連接，如果不成功，則嘗試 SSL 連接。
prefer 與 allow 模式相反；首先嘗試 SSL 連接，然后嘗試未加密連接。
require 客戶機只嘗試已加密的 SSL 連接。
verify-ca SSL 連接，并且具有由可信 CA 簽發(fā)的有效客戶機證書。
Verify-full SSL 連接，具有由可信 CA 簽發(fā)的有效客戶機證書，并且服務(wù)器主機名匹配證書的主機名。

例如：導(dǎo)出 PGSSLMODE=prefer.

SSL 證書

SSL 身份驗證是指客戶機和服務(wù)器交換由具有可靠憑證的第三方簽發(fā)的證書。這個第三方被稱為證書權(quán)威（CA）。如果客戶機或服務(wù)器不能從另一方接收到合法的證書，那么連接將被拒絕。

盡管涉及許多細(xì)節(jié)，但是在 PostgreSQL 上使用 SSL 證書設(shè)置身份驗證非常簡單：

1.編輯 postgresql.conf，ssl=on。服務(wù)器端身份驗證要求下面的文件必須位于其數(shù)據(jù)集群中：

·server.key
·server.crt（必須由 CA 簽發(fā)）
·root.crt（檢驗客戶機身份驗證）
·root.crl（證書撤銷列表，可選）
文件 root.crt 包含一個經(jīng)過檢驗的證書列表。其中應(yīng)該包含可用于您的特定發(fā)行版的所有證書，您也可以向該文件中添加證書。
文件 root.crl 類似于 root.crt，因為它包含一組經(jīng)過 CA 簽名的證書。然而，這些證書屬于已被撤銷了連接權(quán)的客戶機。一個空的 root.crl 文件不會影響身份驗證過程。
客戶端身份驗證要求下面的文件必須位于客戶機的主目錄 ~/.postgresql 中：

·postgresql.key
·postgresql.crt
·root.crt（檢驗服務(wù)器身份驗證）
·root.crl（證書撤銷列表，可選）
和服務(wù)器的 root.crt 一樣，客戶機的 root.crt 文件包含了由一個可信的第三方 CA 簽名的服務(wù)器證書的列表。最后一個文件 root.crl 是可選的，用于撤銷服務(wù)器證書。
要獲取證書，需要客戶機和服務(wù)器都向 CA 提交了證書請求 client.csr 和 server.csr。證書只有在生成了它們的密匙后才能被創(chuàng)建，如下所示。
openssl req -new -newkey rsa:1024 -nodes -keyout client.key -out client.csropenssl req -new -newkey rsa:1024 -nodes -keyout server.key -out server.csr

可以使用多種方法執(zhí)行 openssl 實用工具來獲得證書。例如，您可以對它們施加一個生命周期，或者使用自簽名證書來生成它們，這樣就不需要涉及到 CA。

2.您現(xiàn)在可以使用三種方法生成客戶機和服務(wù)器證書。您可以：
·獲得由可信 CA 簽名的 client.csr 和 server.csr。
·通過使用 openssl perl 實用工具 CA.pl 成為 CA。
·創(chuàng)建自簽名證書并分別將它們添加到服務(wù)器和客戶機的 root.crt 文件中。
3.下面是一組用于 CA.pl 的命令，它們被進(jìn)行了縮減。查看 CA.pl 手冊頁獲得有關(guān)證書請求的更多信息。
·CA.pl -newca（創(chuàng)建新 CA）
·CA.pl -newreq（使用私匙創(chuàng)建一個證書請求）
·CA.pl -signreq （使用您創(chuàng)建的 CA 對證書請求簽名）
對于堅持使用純開源技術(shù)的人，可以在 http://www. 找到 “免費” 的證書。

清單 24. 一個示例證書
-----BEGIN CERTIFICATE-----MIIC9TCCAl6gAwIBAgIJAMuhpY+o4QR+MA0GCSqGSIb3DQEBBQUAMFsxCzAJBgNVBAYTAkFVMRMwEQYDVQQIEwpTb21lLVN0YXRlMSEwHwYDVQQKExhJbnRlcm5ldCBXaWRnaXRzIFB0eSBMdGQxFDASBgNVBAMTC0NvbW1vbiBOYW1lMB4XDTA3MDIxMjEyMjExNVoXDTA3MDMxNDEyMjExNVowWzELMAkGA1UEBhMCQVUxEzARBgNVBAgTClNvbWUtU3RhdGUxITAfBgNVBAoTGEludGVybmV0IFdpZGdpdHMgUHR5IEx0ZDEUMBIGA1UEAxMLQ29tbW9uIE5hbWUwgZ8wDQYJKoZIhvcNAQEBBQADgY0AMIGJAoGBAKA4nX/eBKsPJI1DmtH2wdJE9uZf+IRMUWYrAEDL4F6NEuo2+BsIoOBKS/rrV77Itet9kduJCQ6k/z2ouAVb4muXpJALDjJpYBXt9wqZf+2p1n9dqDw1rCWBjXIdhOcA3DDvu0Ig1FUfm8GS97evxM5IJBECRnK/5JZroXCRSHcpAgMBAAGjgcAwgb0wHQYDVR0OBBYEFElEWNUCV+61itXp86czrDe35vjrMIGNBgNVHSMEgYUwgYKAFElEWNUCV+61itXp86czrDe35vjroV+kXTBbMQswCQYDVQQGEwJBVTETMBEGA1UECBMKU29tZS1TdGF0ZTEhMB8GA1UEChMYSW50ZXJuZXQgV2lkZ2l0cyBQdHkgTHRkMRQwEgYDVQQDEwtDb21tb24gTmFtZYIJAMuhpY+o4QR+MAwGA1UdEwQFMAMBAf8wDQYJKoZIhvcNAQEFBQADgYEAaFzbUmXcWVzqaVeEpZkNwF/eVh110qIUUxXGdeKZGNXIyK67GCUYSG/IFkZ/hrGLeqElLrdmU0mHd2Enq2IuvhxnsOVTTickjKospJvlHPYSumkXx0Xpzey9PhjLh1chpxNGTATKb8ET8YZvBRrDHl/EMPIjLd62iSR/ugFe8go=-----END CERTIFICATE-----

4.假設(shè)您已經(jīng)生成了自簽名證書，將它們復(fù)制到正確的位置并編輯 root.crt。客戶機證書被保存在服務(wù)器的 root.crt 中，而服務(wù)器的證書被保存在客戶機的 root.crt 中。

5.重啟服務(wù)器后監(jiān)視日志消息，確定一切配置正常。
服務(wù)器的默認(rèn)行為將仍然使用加密。這可以通過編輯 postgresql.conf 中的名稱對 ssl_ciphers='NULL' 并重啟服務(wù)器禁用。慎重考慮您的決定：將 ssl_ciphers 設(shè)置為 NULL 就可以禁用加密。

結(jié)束語

在本文中，您了解了有關(guān) PostgresSQL 數(shù)據(jù)庫服務(wù)器保護的基本知識。有關(guān)這個話題還涉及到許多內(nèi)容，但是一篇文章所能介紹的內(nèi)容是有限的。目前有關(guān) PostgreSQL 的介紹還不夠豐富。也許，借助您的一點幫助，我們可以更深入地了解 PostgreSQL 安全性。

【編輯推薦】