Linux 的 Database-SQL-RDBMS HOWTO 文件 (PostgreSQL 物件关联资料库系统): 资料库保安

10. 资料库保安

资料库保安问题需在多个不同层面探讨︰

资料库文档保护。资料库的所有文档都不淮 postgres 超级用户以外的用户读取。
据预设值，从用户连接到资料库伺服器只能透过本机的 UNIX 插座 (socket)，不是 TCP/IP 插座。伺服器需以 -i 选项启动才能容许非本机客户连接。
客户连接可以 IP 地址和 / 或用者名称加以限制，只需修改 $PG_DATA 中的 pg_hba.conf 档。
可籍外部套件认证客户连接。
每位 Postgres 用户都有一个使用者名称和选择性地拥有一个密码。预设值是用户没有权限写入不是自己建立的资料库。
用户可被编配到群组中，能否存取一个表格可以群组特权来限制。

10.1 用户认证

认证是后端伺服器和 postmaster 确保要求存取资料的用户是否确为其人的过程。所有启动 Postgres 的用者都与认证是后端伺服器和 postmaster pg_user 类别比较，以确定他们有权做想做的工作。而用者真实身分的辨别工作以多个不同方法完成︰

在使用者 shell 中︰ 在使用者 shell 直接启动的后端伺服器记下用者的（有效）使用者代号 (effective user-id)，之后作一次 setuid 来化身为 postgres。有效使用者识别号会被用作存取控制的基础。再没有其他认证工作。
来自网络︰ 如果 Postgres 系统以分散式运行，任何人都可存取 postmaster 行程 (process) 的互联网 TCP 埠。资料库管理员需设定 $PGDATA 目录中的 pg_hda.conf 档，来指定不同主机连接不同资料库时所用的认证系统。请参阅 pg_hba.conf(5) （man 5 pg_hba.conf）以了解不同认证系统。当然，根据主机来进行认证在 Unix 也不是毫无破碇。有决心的入侵者也可以伪装自己所用的主机。这些保安问题不在 Postgres 的控制范围。

依据主机控制存取即 PostgreSQL 用于决定什么客户可存取资料库和他们如何确认身份的过程。每个资料库都有一个名为 pg_hba.conf 的文档，在它的 $PGDATA 目录中，它控制谁能存取资料库。每个存取资料库的用户都要在 pg_hba.conf 中有相应的纪录。否则所有来自该客户的连接都会以"User authemtication failed" 错误信息被拒。

请参阅 pg_hba.conf(5) 的 man page（man 5 pg_hba.conf）。

pg_hba.conf 档的基本格式是一组纪录，一行一个。空行或以 hash 字母（#）开始的行则不理会。一个纪录由一些用空格和 / 或 Tab 分开的栏位组成。

从客户来的连接可经 Unix 插座或互联网插座（即 TCP/IP）。来自 Unix 插座的连接用以下格式的记录控制︰

local database authentication method

而

database 指定本纪录用于哪个资料库。all 代表它适用于所有资料库。

authentication method 指定用户在使用 Unix 插座时用来认证的方法。不同的方法容后详述。

来自互联网插座的连接用以下格式的记录控制︰

host database TCP/IP-address TCP/IP-mask authentication method

TCP/IP 地址会 逻辑上 and'ed 到指定的 TCP/IP 罩和客户的 TCP/IP 地址。如两者相等，这纪录会用于这个连接。如果一个连接符合超过一个纪录，文档中的第一个纪录会被使用。不论 TCP/IP 地址还是 TCP/IP 罩都是以分点的十进数格式 (dotted decimal notation) 表达。如果一个连接和所有纪录都不符，reject 认证方法将会被使用。（参阅认证方法）

10.3 认证方法

Unix 和 TCP/IP 插座都支持以下认证方法︰

trust 无条件地容许连接。
reject 无条件地拒绝连接。
crypt 问客户端用者的密码。它会经加密（使用 crypt(3)）和与 pg_shadow 表格的密码比较。如果密码相符，便容许连接。
password 问客户端用者的密码。它会原装传送和与 pg_shadow 表格的密码比较。如果密码相符，便容许连接。一个选择性的密码档可在 password 关键字后出现。这样密码的配对会用这文档，而不是 pg_shadow 文档。请参阅 pg_passwd。

以下认证方法只受 TCP/IP 插座支持︰

krb4 用 Kerberos V4 来认证用户。
krb5 用 Kerberos V4 来认证用户。
ident 用客户端的 ident 伺服器来认证用户（RFC 1413）。在 ident 关键字后还可选择性地指明一个映射，让 ident 用户名称对应到 Postgres 用户名称。对应的关系储存在 $PGDATA/pg_ident.conf 档中。

这里有一些例子︰

# 信任所有来自 Unix 插座的连接。
local   trust
# 信任所有这部电脑经 TCP/IP 来的连接。
host    all 127.0.0.1   255.255.255.255     trust
# 我们讨厌这部电脑。
host    all 192.168.0.10    255.255.255.0       reject
# 这部电脑不懂加密，所以我们要纯文字的密码。
host    all 192.168.0.3 255.255.255.0       password
# 这群电脑的其他成员都要提供加密了的密码。
host    all 192.168.0.0 255.255.255.0       crypt

10.4 存取控制

Postgres 提供了限制其他用家存取自己资料的机制。

资料库超级用家 (Database superusers) 资料库超级用家（即 pg_user.usesuper 设定为对的用家）自动通过以下两项之外的所有存取控制︰pg_user.usecatupd 没有设定为对的话不准手动更新系统目录，摧毁系统目录（或修改它的纲目 (schema)）则永不准许。
存取特权 (Access Privilege) 存取特权是用来限制读、写和设定类别 (class) 规则的权力，用 SQL grant/revoke(1) 来决定。
移除类别和修改纲目 毁灭或修改现存类别的结构，如修改、丢弃表格，和丢弃索引，只能由类别的主人执行。如上所述，这类动作不许用于系统目录。

10.5 经 SSH 的保安 TCP/IP 连接

你可用 ssh 来加密客户和 Postgres 伺服器间的网络连接。做得正确的话，这样可形成一个保安的网络连接。

ssh 的文件提供了大部份开始时需要的资料。请参阅 http://www.heimhardt.de/htdocs/ssh.html 以加深了解。逐步解释只需两步。

经 ssh 形成一条保安通道︰ 逐步解释只需两步。

产生一条到后端电脑的通道，如下︰

ssh -L 3333:wit.mcs.anl.gov:5432 postgres@wit.mcs.anl.gov

-L 参数后的第一个数字，33333，是你这方通道的埠号。第二个数字， 5432，是另一方的终点　后端的埠号。两个埠数之间的名称或地址属于伺服器。 ssh 最后一个参数中用家自行选择是否加上的用户名称也是。没有用户名称的话，ssh 会尝试使用登入客户端电脑的用户名称。你可用任何伺服器电脑接受的用户名称，不一定要用和 PostgreSQL 有关的。
你现在已开始了一个 ssh 时段，你把可你所用的电脑的 Postgres 客户连接到你前一步所定的埠号。如你使用 psql，你要另一个界面，因为之前所用的一个已被 ssh 占据。
```
psql -h localhost -p 3333 -d mpw
```
注意你要用 -h 参数使得你的客户用 TCP 插座而不是 Unix 插座。如果你用 5432 作通道的终点你可略去埠的参数。

10.6 Kerberos 认证

Kerberos 是一个业界标准的保安认证系统，适用于经过公用网络的分散式系统。

如何取得 Kerberos 认证系统并不随同 Postgres 散布。不同版本的 Kerberos 多以可供选择的软件的形式自作业系统厂商得到。此外，原程序码的发行版本 (distribution) 可自 MIT Project Athena 得到。

注意︰即使你使厂商提供了 Kerberos，你仍可能想用 MIT 
版，因为一些厂商的版本被故意弄坏以致不能和 MIT 版本合作。

有关 Kerberos 的查询可提交你的厂商或 MIT Project Athena。注意 FAQLs（常问问题名单，Frequently-Asked Questions Lists) 会被定时寄至 Kerberos 通信论坛（寄信去订阅），和 USENET 新闻组。

安装︰ 安装 Kerberos 在 Kerberos Installation Notes 中已详细说明。要确定伺服器键码档 (key file)（srvtab 或 keytab）可被 postgres 用户读到。籍设定 src/Makefile.global 档的 KRBVERS 变数，Postgres 或其客户程序可编译为使用 MIT Kerberos 通讯协定的第四或五版。你也可改变 Postgres 期望找到相关函式库、标头档和自己的伺服器键码档的位置。编译完后， Postgres 要登记为一个 Kerberos 服务。请参阅 Kerberos Operations Notes 和相关 manual pages 以取得有关登记服务的详情。

操作︰ 安装之后，Postgres 在各方面应如一般 Kerberos 服务运作。要知道认证的使用方法，请参阅 PostgreSQL User's Guide 有关 postmaster 和 psql 的章节。

在 Kerberos 第五版挂钓 (hooks)，对用户和服务命名作了以下假设（也请参阅以下表格）。

用户的主要名称 (principal names，anames) 第一个部份中假设含有 Unix / Postgres 用户名称。
Postgres 服务假设有两个部份，服务名称和主机名称。后者如同第四版的格式（即除去所有域名的部分）。

                表格︰Kerberos 参数例子
 ------------------------------------------------------
 参数       例子 
 ------------------------------------------------------
 user       frew@S2K.ORG
 user       aoki/HOST=miyu.S2K.Berkeley.EDU@S2K.ORG
 host       postgres_dbms/ucbvax@S2K.ORG
 ------------------------------------------------------

Next Previous Contents