Postgresql security

Bảo mật Postgresql
cuong@techmaster.vn
http://techmaster.vn
Giáo trình đào tạo quản trị cơ sở dữ liệu
tại Techmaster. Học là có việc !

Kinh nghiệm sương máu cho mấy tay lười
• Postgresql có 1 super user postgres quyền năng tối cao.Tuyệt đối
không dùng để kết nối từ ứng dụng. Hãy đặt password phức tạp,
khó hack cho postgres
• Dùng role postgres tạo ra các db_admin.
• Dùng dbamin tạo ra database

Role cho web app
Một web app cần có tối thiểu 2 role, db là tên database
• db_admin: database owner, table owner, connect. Dùng để
migrate
• db_user: quyền SELECT, UPDATE, INSERT, DELETE,
REFERENCE lên các bảng. Dùng để connect từ web app
• Hạn chế dùng db_admin để thay đổi dữ liệu, hãy dùng nó để tạo
bảng, tạo function, tạo view quá migration script
• Luôn dùng db_user để truy vấn, sửa dữ liệu

Role truy vấn dữ liệu nhạy cảm
• Đối với dữ liệu nhạy cảm, nên có role riêng để
tạo schema riêng.
• Trong schema riêng, role đó tạo bảng, truy vấn
dữ liệu nhạy cảm, revoke mọi quyền của
db_admin hay db_user vào bảng đó
• Áp dụng bảo mật cột Row Level Security

Kiểm tra owner của bảng và table
SELECT d.datname AS "Db"
, pg_catalog.pg_get_userbyid(d.datdba) AS "Owner"
FROM pg_catalog.pg_database d
WHERE d.datname = 'dvdrental'
Kiểm tra owner của bảng cụ thể
Kiểm tra owner của database cụ thể
SELECT * FROM pg_tables WHERE schemaname = 'public' AND
tablename = 'film';

Truy vấn quyền
Kiểm tra quyền của một user với một database cụ thể, một schema cụ thể
SELECT * FROM information_schema.role_table_grants
WHERE grantee ='dev' AND table_catalog = 'dvdrental'
AND table_schema ='public';
Liệt kê tất cả các role đang có quyền vào một schema của một database cụ thể
SELECT DISTINCT grantee FROM
information_schema.role_table_grants
WHERE table_catalog = 'dvdrental' AND table_schema ='public';

Tước bớt quyền
REVOKE ALL ON ALL TABLES IN SCHEMA public FROM public, userx,
usery;
Tước quyền tác động vào database chưa đảm bảo loại bỏ quyền lên các đối
tượng trong database đó. Quyền lên database chỉ gồm CREATE, CONNECT, TEMP
REVOKE ALL ON DATABASE dvdrental FROM public;
Tước quyền tác động vào các bảng ở schema của public, userx, usery
Tước xong vẫn phải truy vấn lại cho chắc chắn !

> postgres role
CREATE ROLE cia_admin CREATEDB CREATEROLE LOGIN;
ALTER ROLE cia_admin ENCRYPTED PASSWORD 'abc';
CREATE DATABASE cia OWNER cia_admin;
REVOKE ALL ON DATABASE cia FROM public;
> cia_admin role
CREATE TABLE agent (id SERIAL PRIMARY KEY, name TEXT UNIQUE NOT
NULL);
CREATE ROLE cia_user LOGIN ENCRYPTED PASSWORD 'abc';
GRANT CONNECT ON DATABASE cia TO cia_user;
GRANT ALL ON TABLE agent TO cia_user;
GRANT ALL ON ALL SEQUENCES IN SCHEMA public TO cia_user;

> cia_user role
INSERT INTO agent (name) VALUES ('thu');
SELECT * FROM agent;
DROP TABLE agent; //failed ! Only table owner or super user can
drop

Các lệnh
• CREATE <> DROP
• GRANT <> REVOKE
• ALTER
• SET

Quyền hạn mức Role, Group

Role Mô tả
SUPERUSER <> NOSUPERUSER Đặc quyền cao nhất, nguy hiểm nhất
CREATEDB <> NOCREATEDB Được tạo database mới
CREATEROLE <> NOCREATEROLE Được tạo ra role mới
INHERIT <> NOINHERIT Kế thừa role
LOGIN <> NOLOGIN Được login hay không
REPLICATION <> NOREPLICATION Có được replicate với CSDL khác hay không
BYPASSRLS <> NOBYPASSRLS Bỏ qua bảo mật dòng ROW SECURITY
CONNECTION LIMIT connlimit Giới hạn số kết nối đồng thời, -1 là không giới hạn
PASSWORD password
ENCRYPTED <> UNENCRYPTED Mã hóa password
VALID UNTIL 'timestamp' Thời hạn của role

SUPERUSER vượt trên mọi đặc quyền
và giới hạn, chỉ nên có 1
SUPERUSER có password bảo mật cao
nhất

Luôn dùng lệnh du để kiểm tra quyền hạn của các role
SUPERUSER ưu tiên cao hơn INHERIT, CREATEROLE,
CREATEDB
Nhưng bị vô hiệu bởi NOLOGIN

CREATE ROLE jack WITH LOGIN PASSWORD 'abc'
VALID UNTIL '2018-01-01';
ALTER ROLE jack CREATEROLE CREATEDB;
ALTER ROLE jack NOLOGIN;
DROP ROLE jack;

role và group tương đương nhau
• Đều sử dụng lệnh CREATE ROLE
• Để phân biệt ROLE với GROUP
– Luôn đặt tên group với hậu tố _group ví dụ
admin_group, createdb_group
– Không gán đặc quyền login cho group!
– Role group cần INHERIT

postgres@host:db> CREATE ROLE admin_group WITH CREATEDB
CREATEROLE;
-- admin_group có INHERIT -> role thuộc nó kế thừa đặc quyền
postgres@host:db> GRANT admin_group to dev;
--connect as dev role
pgcli -h host -U dev -W -d db
dev@host:db> CREATE ROLE fun;
permission denied to create role
-- phải chuyển sang role admin_group mới được !
dev@host:db> SET ROLE admin_group;
dev@host:db> CREATE ROLE fun;
-- success !

CREATE ROLE oper CREATEDB ADMIN postgres CREATEROLE ;
-- Drop nhiều role cùng một lúc cách ra bằng dầu phẩy
DROP ROLE funrole, sadrole;

SET ROLE specificrole
Super user dùng SET ROLE để kiểm tra
việc phân quyền có đúng không mà không
cần login bằng role đó

postgres@host:db> GRANT admin_group TO dev;
-- successful
postgres@host:db> GRANT dev TO admin_group;
role "dev" is a member of role "admin_group"
-- Không thể gán vòng quanh được

Quyền truy xuất vào các đối tượng

Cú pháp lệnh GRANT
Gán quyền gì vào đối tượng nào
GRANT { { SELECT | INSERT | UPDATE | DELETE | TRUNCATE |
REFERENCES | TRIGGER } [, ...] | ALL [ PRIVILEGES ] } ON { [
TABLE ] table_name [, ...] | ALL TABLES IN SCHEMA schema_name
[, ...] } TO a_role [, ...] [ WITH GRANT OPTION ]
{ } nhóm quyền hay đối tượng áp dụng. Dùng ALL để chọn tất
[, ...] có thể một hoặc nhiều
[…] có thể bỏ qua
WITH GRANT OPTION có thể gán lại cho role khác

GRANT
• SELECT, INSERT, UPDATE, DELETE,TRUNCATE, REFERENCES,TRIGGER
ONTABLE
• CREATE, CONNECT,TEMP ON DATABASE
• CONNECT login khác với connect ở điểm, phải login được rồi mới connect vào
db
• TEMP quyền được tạo bảng tạm thời
• EXECUTE quyền thực thi hàm
• USAGE

Cấm truy cập truy cập REVOKE CONNECT
-- Cấm user dev truy cập CSDL dvdrental
postgres@host:dvdrental> REVOKE CONNECT ON DATABASE dvdrental
FROM dev;
-- Cấm tất các user truy cập CSDL dvdrental
postgres@host:dvdrental> REVOKE CONNECT ON DATABASE dvdrental
FROM PUBLIC;
-- Kết nối vào dvdrental bằng role dev
pgcli -h host -U dev -W -d dvdrental
FATAL: permission denied for database "dvdrental"
DETAIL: User does not have CONNECT privilege.

Cấp quyền truy cập GRANT CONNECT
-- Cho phép dev truy cập CSDL dvdrental
postgres@host:dvdrental> GRANT CONNECT ON DATABASE dvdrental TO
dev;
-- Kết nối vào dvdrental bằng role dev
pgcli -h host -U dev -W -d dvdrental
-- Success !

-- xóa toàn bộ quyền lợi của role dev
DROP OWNED BY dev;
SET ROLE dev;
SELECT * FROM actor;
permission denied for relation actor
Vô hiệu mọi quyền của một role

Loại bỏ quyền trên tất cả các bảng
-- Cấm dev xóa dòng trên tất cả các bảng thuộc
schema payroll
postgres@host:dvdrental> REVOKE DELETE ON ALL
TABLES IN SCHEMA payroll FROM dev;
-- Gỡ mọi quyền lên tất cả các bảng trong
schema public ra khỏi public user
postgres@host:dvdrental> REVOKE ALL ON ALL
TABLES IN SCHEMA public FROM PUBLIC;

-- Gán SELECT, UPDATE, INSERT cho dev bảng
actor trong dvdrental
postgres@host:dvdrental> GRANT SELECT, UPDATE,
INSERT ON actor TO dev;
dev@host:dvdrental> SELECT * FROM actor;
-- Giờ có thể truy vấn được rồi nhưng không
DELETE được
Phân quyền vào bảng

-- Gán quyền cho nhiều bảng cùng một lúc
GRANT SELECT, UPDATE, INSERT ON actor, film TO dev;
GRANT SELECT,UPDATE ON ALL TABLES IN SCHEMA public TO
dev;
Phần quyền vào nhiều bảng

SELECT * FROM
information_schema.role_table_grants
WHERE grantee='dev' AND table_name = 'users';
Liệt kê quyền của user đến 1 bảng cụ thể

Có GRANT/REVOKE quyền CREATE/DROP được không?
• Chỉ có owner và role super user mới có quyền
drop table, function
• Muốn chuyển owner?
ALTER FUNCTION foo() OWNER TO dev;
ALTER TABLE foo OWNER TO dev;

Row Level Security – bảo mật dòng
Bảng user có cột password cần phải được mã hóa và giới hạn user
truy cập.
Chỉ có user sys mới có thể truy cập, các user khác không được truy
vấn cột password

Cấm select password với role dev
REVOKE SELECT ON users FROM dev;
GRANT SELECT (id, email) ON users TO dev;
SET ROLE dev;
SELECT password FROM users;
permission denied for relation users
-- Lệnh này thì ok
dev@host:dvdrental> SELECT id, email FROM
user;

Tóm tắt Row Level Security
• ALTER ROLE
– NOBYPASSRLS cấm pgdump xuất các cột được bảo về bởi
RLS
– BYPASSRLS cho phép pgdump xuất hết các cột kể cả cột
bật RLS
• GRANT / REVOKE RLS đến từng cột trong bảng
• ALTERTABLE
– ENABLE ROW LEVEL SECURITY áp dụng policy
– DISABLE ROW LEVEL SECURITY bỏ qua policy
– FORCE ROW LEVEL SECURITY áp dụng RLS kể cả với table owner
– NO FORCE ROW LEVEL SECURITY không áp dụng RLS với table owner

pg_dump rất nguy hiểm. Table có thể
có RLS nhưng nó vẫn xuất được row
có security, do đó cần bật
NOBYPASSRLS để chống lại pg_dump
ALTER ROLE dev NOBYPASSRLS;

-- Áp dụng POLICY RLS vào bảng
ALTER TABLE users ENABLE ROW LEVEL SECURITY;
-- Áp dụng RLS kể cả với owner của bảng
ALTER TABLE users FORCE ROW LEVEL SECURITY;
ALTER TABLE ENABLE / DISABLE ROW LEVEL SECURITY

Postgresql security

Recommended

More Related Content

What's hot (20)

Viewers also liked (17)

Similar to Postgresql security (8)

More from TechMaster Vietnam (12)

Postgresql security