PostgreSQL数据库安全加固（六）——数据库文件的访问权必须限于授权用户

前言

对数据库文件的访问必须限于相关进程和授权的管理用户。

一、检查数据库文件所有者

查看操作系统/文件系统在数据库文件，数据库日志文件和数据库备份文件上授予用户的权限。
注意：PGDATA是PostgreSQL数据库的环境变量。

# 切换至数据库用户
su - postgres
# 列出数据库目录文件信息
ls -lR ${PGDATA?}
1
2
3
4

如下图红框处，用户和组的归属应都为postgres

二、加固建议

注意：以下说明使用PGDATA环境变量。
配置操作系统/文件系统授予的数据库文件，数据库日志文件和数据库备份文件的权限，以便只允许相关系统帐户和需要知道的授权系统管理员和数据库管理员读取/查看这些文件。
此外，在PGDATA中创建的任何文件(例如：额外配置文件)必须由数据库管理员拥有，只有读取，写入和执行的所有者权限。

总结

包括PostgreSQL在内的应用程序必须通过共享系统资源防止未经授权和无意的信息传输。仅允许DBMS进程和授权的管理用户访问数据库所在的文件，有助于确保这些文件不会被不适当地共享，并且不会对后门访问和操作开放。