EnterpriseDB & PostgreSQL RLS & Oracle VPD
背景
PostgreSQL 9.5的RLS用法请参照
《PostgreSQL 行安全策略 - PostgreSQL 9.5 new feature - can define row security policy for table》
EnterpriseDB的RLS用法略有差别,因为EDB主要为Oracle兼容性做了很多适配,用法和Oracle的VPD用法相似,调用DBMS_RLS.add_policy来实现RLS。
详细的用法参照:
http://www.enterprisedb.com/docs/en/9.5/oracompat/Database_Compatibility_for_Oracle_Developers_Guide.1.201.html#pID0E0D5J0HA
例子:
postgres=> create table test(id int, info text, rol name);
创建一个策略,只允许用户操作(select,update,delete,insert) rol=当前用户名的记录。
首先要创建一个函数,函数的参数类型和返回值类型必须使用这种格式。
代表行安全策略要在哪个schema.object对象上应用,以及应用时添加的条件。
函数返回值就是添加的条件。
例如’rol=’ | current_user这个会作为附加条件,判断记录是否匹配这个条件。 |
postgres=> create or replace function f(p_schema text, p_obj text) returns text as $$
declare
begin
return 'rol=$_$'||current_user||'$_$';
end;
$$ language plpgsql;
CREATE FUNCTION
创建策略(需超级用户):
postgres=> select
dbms_rls.add_policy (object_schema => 'public'::text
,object_name => 'test'::text
,policy_name => 'policy1'::text
,function_schema => 'public'::text
,STATEMENT_TYPES => 'SELECT, INSERT, UPDATE, DELETE'::text
,POLICY_FUNCTION => 'f'::text, update_check=>'true');
rds_add_policy
----------------
(1 row)
验证策略是否生效
postgres=> select current_user;
current_user
--------------
digoal
(1 row)
当前用户为digoal,只能插入rol=’digoal’的记录
postgres=> insert into test values (1,'test','digoal');
INSERT 16426 1
postgres=> insert into test values (1,'test','A');
ERROR: policy with check option violation
DETAIL: Policy predicate was evaluated to FALSE with the updated values
更换一个名为test的用户测试:
postgres=> insert into test values (1,'test','a');
ERROR: policy with check option violation
DETAIL: Policy predicate was evaluated to FALSE with the updated values
postgres=> insert into test values (1,'test','test');
INSERT 16428 1
postgres=> select current_user;
current_user
--------------
test
(1 row)
postgres=> update test set id=1;
UPDATE 1
postgres=> update test set id=1 returning *;
id | info | rol
----+------+------
1 | test | test
(1 row)
UPDATE 1
这样做到了数据的隔离。
查看已有的策略:
postgres=# select * from dba_policies ;
object_owner | schema_name | object_name | policy_group | policy_name | pf_owner | package | function | sel | ins | upd | del | idx | chk_option | enable | static_policy | policy_type | long_predicate
--------------+-------------+-------------+--------------+--------------------+----------+---------+----------+-----+-----+-----+-----+-----+------------+--------+---------------+-------------+----------------
digoal | public | test | | policy1 | public | | f | YES | YES | YES | YES | NO | YES | YES | NO | UNKNOWN | YES
禁用, 生效策略
postgres=# select dbms_rls.enable_policy('public','test','policy1',false); -- 禁用
postgres=# select dbms_rls.enable_policy('public','test','policy1',true); -- 生效
删除策略
postgres=# select dbms_rls.drop_policy('public','test','policy1');
-[ RECORD 1 ]-
drop_policy |
注意EDB的策略只能针对所有用户,不能像PG那样只对某些用户创建策略。
如果要让EDB的策略有针对性,可以在函数中加上角色判断,对不同的角色使用不同的返回值来控制策略的多样性。
例如
switch current_user
when 'digoal' then return '.....';
when '..' then return '...';
等。
策略还有一个需要注意的地方,静态和动态。通过add_policy的参数控制,默认是动态。
静态策略指会话中第一次触发策略时,编译成静态的,以后直接使用内存中缓存的策略。
动态策略指每次都重新调用。例如使用current_user这种变量作为return值中的一部分,就需要使用动态策略。
权限问题:
dbms_rls包需要超级用户才能执行,如果需要给普通用户执行权限,可以通过封装,或者将函数的执行权限给普通用户。
例如:
create or replace function your_add_policy(object_schema text DEFAULT NULL::text, object_name text, policy_name text, function_schema text DEFAULT NULL::text, policy_function text, statement_types text DEFAULT 'insert,update,delete,select'::text, update_check boolean DEFAULT false, enable boolean DEFAULT true, static_policy boolean DEFAULT false, policy_type integer DEFAULT NULL::integer, long_predicate boolean DEFAULT false, sec_relevant_cols text DEFAULT NULL::text, sec_relevant_cols_opt integer DEFAULT NULL::integer) returns void as $$
declare
begin
perform dbms_rls.add_policy(object_schema , object_name , policy_name , function_schema , policy_function , statement_types , update_check , enable , static_policy , policy_type , long_predicate , sec_relevant_cols , sec_relevant_cols_opt);
end;
$$ language plpgsql;
grant execute on function your_add_policy( text , text, text, text , text, text , boolean , boolean , boolean , integer , boolean , text , integer ) to public;
给普通用户操作add_policy的风险:
对超级用户创建的表,普通用户也能通过add_policy来控制安全策略,这个控制结果有点越权的感觉。
例如用户创建一个函数如下:
create or replace function f2(name,name) returns text as $$
declare
begin
return 'false';
end;
$$ language plpgsql;
然后把这个函数作为策略函数,在一个超级用户创建的表上创建策略,超级用户对这个表的内容就会变成完全不可见状态。
是非常危险的。不过还好对系统表不起作用,否则问题更严重。
安全加固方法:
在封装函数中过滤需要过滤的表,对这些表不允许创建policy:
create or replace function your_add_policy(object_schema text DEFAULT NULL::text, object_name text, policy_name text, function_schema text DEFAULT NULL::text, policy_function text, statement_types text DEFAULT 'insert,update,delete,select'::text, update_check boolean DEFAULT false, enable boolean DEFAULT true, static_policy boolean DEFAULT false, policy_type integer DEFAULT NULL::integer, long_predicate boolean DEFAULT false, sec_relevant_cols text DEFAULT NULL::text, sec_relevant_cols_opt integer DEFAULT NULL::integer) returns void as $$
declare
filter_name text[];
begin
filter_name = array['public.tbl1']; -- 过滤这个表
perform 1 where object_schema||'.'||object_name = any(filter_name);
if not found then
perform dbms_rls.add_policy(object_schema , object_name , policy_name , function_schema , policy_function , statement_types , update_check , enable , static_policy , policy_type , long_predicate , sec_relevant_cols , sec_relevant_cols_opt);
end if;
end;
$$ language plpgsql security definer;
grant execute on function your_add_policy( text , text, text, text , text, text , boolean , boolean , boolean , integer , boolean , text , integer ) to public;
用户再次使用your_add_policy添加策略时,对public.tbl1不起作用。
参考
1. 《PostgreSQL 行安全策略 - PostgreSQL 9.5 new feature - can define row security policy for table》
2. http://www.enterprisedb.com/docs/en/9.5/oracompat/Database_Compatibility_for_Oracle_Developers_Guide.1.201.html#pID0E0D5J0HA
3. http://www.postgresql.org/docs/9.5/static/sql-createpolicy.html