PostgreSQL数据库安全加固(十一)——定义角色并发会话数
文章目录
- 前言
- 一、检查配置
- 二、加固建议
- 总结
前言
数据库管理包括使用PostgreSQL控制用户数和用户会话数的能力。与PostgreSQL无限制的并发连接可以通过耗尽连接资源来成功进行拒绝服务(DoS)攻击,并且系统也可能因合法用户的过载而失败。因此,限制每个用户的并发会话数有助于降低这些风险。
一、检查配置
1、检查数据库允许的连接总数,请以数据库管理员身份运行以下SQL:
# 切换至postgres数据库su - postgres# 查看postgresql.conf配置的最大连接数psql -c 'SHOW max_connections;'
2、要检查每个角色允许的连接数量,请以数据库管理员身份运行以下SQL:
# 切换至postgres数据库su - postgres# 查看pg_authid系统表信息psql -c 'SELECT rolname, rolconnlimit from pg_authid'
如果任何角色配置的连接数为-1(不限制),则存在安全风险。
pg_authid系统表字段说明:
oid:行标识符(隐藏属性; 必须明确选择)rolname:角色名称rolsuper:角色拥有超级用户权限rolinherit:角色自动继承其所属角色的权限rolcreaterole:角色可以创建更多角色rolcreatedb:角色可以创建数据库rolcatupdate:角色可以直接更新系统表。如果没有设置这个字段为真,即使超级用户也不能这么做。rolcanlogin:角色可以登录,也就是说,这个角色可以给予会话认证标识符。rolreplication:角色是一个复制的角色。rolconnlimit:对于可以登录的角色,限制其最大并发连接数量。-1 表示没有限制。rolpassword:口令(可能是加密的);如果没有则为 NULL。如果密码是加密的,该字段将以md5 字符串开始,后面跟着一个32字符的十六进制MD5哈希值。rolvaliduntil:口令失效时间(只用于口令认证);如果没有失效期,则为 null。
二、加固建议
1、配合合适的最大连接数
要配置允许数据库的最大连接数,以数据库管理员(此处显示为“postgres”)身份,请在postgresql.conf中更改,以下内容(值200是示例;设置值以适合业务需要):
# 切换至postgres数据库su - postgres# 膝盖配置文件vi ${PGDATA?}/postgresql.conf
修改配置后需要重启或重新加载配置文件。
# 重启数据库pg_ctl restart# 重新加载配置文件pg_ctl reload
2、限制角色允许的最大连接数
要限制特定角色允许的连接数,请以数据库管理员身份运行以下SQL:
psql -c“ALTER ROLE <rolname> CONNECTION LIMIT 10”;
如下图,admin1角色(账户)被修改为最大并发数为10.
总结
必须在PostgreSQL中配置或添加限制每个用户的并发会话数的功能(例如,通过使用登录触发器)。请注意,仅通过Web服务器或应用程序服务器限制会话是不够的,因为合法用户和攻击者可能通过其他方式连接到PostgreSQL。
女爷i
柔情只为你懂
亦凉
还没有评论,来说两句吧...