DNA遗传哲学? - 数据库里schema应该属于谁?

1 minute read

背景

混沌初开

安装好PostgreSQL软件后,需要调用initdb,或者pg_ctl初始化数据库实例,初始化数据库实例时,通过bki接口(脚本),建立数据库元数据。

初始化后,数据库有了数据文件、日志文件、控制文件、CLOG、WAL等一系列数据库的文件。

同时会创建模板库template0, template1, 以及数据库postgres。

模板库内,默认会有一个public schema,owner是谁?是初始化时数据库的超级用户。例如初始化数据库集群时,超级用户为postgres,那么模板库属于postgres,模板库里的schema(public)也属于postgres。

基因传递

接下来,用户可以使用PostgreSQL数据库从模板库创建更多数据块。

通过模板库创建的新的数据库,里面也会带有模板库所有的一切,包括schmea,这些对象属于谁呢?

owner是postgres还是新建数据库的用户(或者指定的数据库owner呢?)

目前,不管你用什么用户新建数据库,新数据库的权限,OWNER都会和模板库保持原样。

例如,template1的public属于postgres用户

template1=# \dn  
  List of schemas  
  Name  |  Owner     
--------+----------  
 public | postgres  
(1 row)  

使用另一个用户,创建一个数据库,并将新的数据库的owner设置为新用户。但是这个新数据库内的public schema owner依旧是postgres。

template1=# create role digoal superuser login;  
CREATE ROLE  
template1=# \c postgres  
You are now connected to database "postgres" as user "test".  
postgres=# create database db1 with template template1 owner digoal;  
CREATE DATABASE  
postgres=# \c db1  
You are now connected to database "db1" as user "test".  
db1=# \dn  
  List of schemas  
  Name  |  Owner     
--------+----------  
 public | postgres  
(1 row)  

为什么要基因?

假设不继承模板库的权限,而是将schema或者对象的权限或者OWNER直接转嫁给数据库的owner,会有什么风险呢?

风险如下:

一个有create database权限的普通用户,它可以利用这种方法,窥探其他数据库的它看不到的内容。

创建一个普通用户,带有create database权限  
db1=# create role r1 createdb login;  
CREATE ROLE  
  
连接到template1库,使用超级用户postgres创建一个测试表和测试数据  
template1=> \c template1 postgres  
You are now connected to database "template1" as user "postgres".  
template1=# create table test(id int);  
CREATE TABLE  
template1=# insert into test values (1);  
INSERT 0 1  
  
普通用户无法访问这张测试表  
template1=# \c template1 r1  
You are now connected to database "template1" as user "r1".  
template1=> select * from test;  
ERROR:  permission denied for relation test  
以template1为模板,新建一个数据库,OWNER为自己。  
template1=> \c postgres r1  
You are now connected to database "postgres" as user "r1".  
postgres=> create database db3 with template template1 owner r1;  
CREATE DATABASE  
  
由于权限继承,所以新建的数据库,OWENR依然没有权限查询这张表  
postgres=> \c db3 r1  
You are now connected to database "db3" as user "r1".  
db3=> \dn  
  List of schemas  
  Name  |  Owner     
--------+----------  
 public | postgres  
(1 row)  
db3=> select * from test;  
ERROR:  permission denied for relation test  

PostgreSQL 权限继承的方法充分考虑了这一点,避免了安全风险问题。

有什么更好的方法呢?

实际上用户的想法和PostgreSQL实施的安全防护不一致,例如用户创建了一个模板库,并希望其他人通过这个模板库创建的数据库,里面的对象OWNER也改成建库的OWNER。

create database db1 with template template1 owner newrole;  
  
用户也许希望db1里面包含的模板库中的schema public也转给newrole  

如何改变现状呢?

1. 既然owner改变不了,那么可以使用权限来控制,模板建好后,把模板中的对象权限赋予给public角色。

\c template1 postgres  

grant all on schema public to public;  

2. 还有更人性化的方法,例如新增SQL语法:

给schema,table,view等对象增加一个权限选项(允许用户选择),作为模板创建时,OWNER是否跟随数据库的owner。

3. 当以template0为模板创建数据库时,建议public的owner可以改为数据库的owner,同样需要社区代码层面的支持。

4. 当用户新建了数据库后,再使用超级用户,将新库的public schema赋予给新库的owner.

\c new_db superuser

alter schema public owner to db_user;

注意,schema owner有这个schema的绝对管理权限,包括删除其他人在这个schema创建的对象。

所以千万不要把自己的对象创建到别人的schema下面,那很危险。

《PostgreSQL 逻辑结构 和 权限体系 介绍》

参考

https://www.postgresql.org/docs/9.6/static/sql-createdatabase.html

Flag Counter

digoal’s 大量PostgreSQL文章入口