PostgreSQL数据库安全加固（四）——数据库对象拥有者核查_pg 安全加固

前言

数据库对象(包括但不限于表，索引，存储，触发器过程，函数，外部表等)必须由授权拥有的数据库/ DBMS主体拥有。

一、检查风险

连接数据库后，执行以下命令检查数据库对象归属，如果发现任何数据库对象由未被授权拥有数据库对象的用户拥有，则存在安全风险。

--检查schema
\dn *.*
--检查表
\dt *.*
--检查序列
\ds *.*
--检查视图
\dv *.*
--检查函数
\df *.*
--检查物化视图
\dm *.*
1
2
3
4
5
6
7
8
9
10
11
12

下图以检查表对象所有者为例。如果某个对象不属于授权角色的所有权，则存在安全风险。

二、加固建议

在数据库中，对象所有权意味着拥有对象的完全特权，包括将拥有对象的访问权限分配给其他主体的特权。可以使用定义者的权限对数据库函数和过程进行编码。这允许任何使用该对象的人在他们是所有者时执行操作。如果管理不当，这可能导致未经授权的个人采取特权行动。相反，如果关键表或其他对象依赖于未经授权的所有者帐户，则在删除帐户时这些对象可能会丢失。
建议：需要将授权对象的所有权分配给授权对象所有者帐户。

总结

1、如需要创建schema请执行以下命令：

CREATE SCHEMA test AUTHORIZATION [rolename]
1

2、修改schema的所有者请执行以下命令

ALTER SCHEMA test OWNER TO  [rolename]
1