PostgreSQL数据库安全策略.docVIP

PostgreSQL是应用和影响仅次于Mysql的开源数据库，主要运行在Unix类操作系统，本文以红帽企业版 5.5? 为例，介绍PostgreSQL安全配置的方法。 一、?PostgreSQL 安全漏洞PostgreSQL与其他商业和开源数据库比起来，它所报道的安全漏洞bug已经算是少的了。Common Vulnerabilities and Exposures数据库（/cgi-bin/cvekey.cgi?keyword=postgresql）给出了PostgreSQL及其附属应用程序的78个bug，这远比其他DBMS的数量少。最新的PostgreSQL bug是CVE-2011-1548修正版本发布的。更新内容包括两处处有一定影响的Bug，一个是8.1版本中的autovacuum（自动整理数据库功能），另一个是8.3版本中的GiST索引会导致的数据丢失的可能性，这两个版本的用户应尽快升级。这两个Bug在新发布的版本中均已修复。 对其他版本的更新，用户不必进行数据的导出和导入即可进行新版本的更新，仅需将正在运行的PostgreSQL停止，然后直接更新PostgreSQL的二进制文件即可。用户直接进行多个小版本号的升级时，需对照检查一下软件的发布声明、升级步骤等内容。目前已知的PostgreSQL漏洞数量少有许多因素。首先PostgreSQL代码的总体质量很高，在产品多年的开发过程中，安全做得比较完整。也可以这样认为，PostgreSQL与其他DBMS相比，它的攻击表面更小一些。证据就在程序的安装过程中，默认情况下，它会防止网络访问、拒绝允许具有特权的用户环境下的操作；当然它也会定期发布bug修复。修复信息在pgsql-announce邮件列表中宣布。它存档于：/pgsql-announce/?上。其他值得监测的列表包括pgsql-bugs、pgsql-hackers和pgsql-patches（也存档在前面的URL上）。安全漏洞已经在这些列表上公开讨论了。记住这些就可以在补丁发布之前采取需要的对策。 二、黑客如何查询PostgreSQL目标在默认情况下，PostgreSQL并不为网络访问进行配置，所以第一步值得考虑这个问题，即如何确定它当前给出的本地系统访问。这是通过检查pstmaster或postgres进程表来实现的。在Unix系统上，PostgreSQL本地套接字通常都位于／tmp目录下，并且被命名为s．PGSQL．5432。它可以通过“netstat –l”命令列出正在监听的TCP和Unix套接字来确定。许多部署方案需要数据库远程可用。PostgreSQL通常监听TCP的5432端口。因此，攻击者可能会在网络上对各系统进行一次简单的扫描，用来响应端口5432上的TCP SYN数据包，以确定PostgreSQL服务器的存在（下面是使用nmap的例子）：$ nmap -sS /24 -p 5432如果postmaster正在监听，那么管理员可能会选择改变端口，这也许是降低攻击者攻击性的一种迷惑方法。但是，对于检测一个数据包发送者来说，它很简单。PostgreSQL客户机（如psql）就会被用来尝试连接。如果连接源端的用户名、数据库、SSL连接选项和主机已经有pg_hba.conf文件已有记载，那么攻击者就不大可能在初始化检测器上去匹配一个有效的记录。因此，预期的响应就类似于如下所示：$ psql -h -p 2345 –d test –U testpsql: FATAL:? no pg_hba.conf entry for host , user test,?database test, SSL off初始PostgreSQL的协议交换开始于客户机发送一个startup消息给ostmaster，这通常会导致一个ErrorResponse消息（正如以上用友好的方式列出的那样），这个消息是一个身份验证类型的消息，或者一个AuthenticationOK消息。有许多工具可以基于对各种输入进行响应来标识应用程序。一个非常流行的工具amap错误地将PostgreSQL标识为MySQL。然而，如果amap用一b选项切换运行，那么将会显示Error Response消息。 三、保护PostgreSQL数据库的安全性策略?1? 使pg_hba.conf文件中各条目尽量受到限制。默认情况下，安装PostgreSQL时禁用网络访问。大多数部署场景需要远程访问。Pg_ hba．conf应该依据下列考虑进行写入： 指定单独的主机，与网络范围（或者更坏一点的情况，所有主机）形成对比，除非它是使用拒绝规则。??? 使用特定的拒绝规则（置于规则列表的顶端），以便防止从某些网络范围向特定数据库进行访问。??? 使用增强S