首页 » 应用安全 » 数据库 » PostgreSQL » 正文

Postgresql 服务器安全配置

1、软件版本及升级策略

Postgresql数据库默认采用较新的稳定版本。安全组负责跟踪厂商发布的相关安全补丁,评估是否进行升级。

2、账户及口令管理

2.1、系统运行账户

为Postgresql数据库建立独立的linux系统账户:postgres(具体要求请参考《Linux安全配置标准》)。
设置Postgresql数据库以postgres账户启动。

2.2、重命名数据库root账户并设置强口令

(1)重命名数据库超级管理员账户为pgsqlsuper,此帐号由DBA负责人保管,禁止共用;
(2) 为“pgsqlsuper”用户设置强口令;
(3) 为每个DBA分配独立的数据库管理员帐号,禁止共用。
(4) 线上数据库只允许DBA直接操作,禁止其他人员进行操作。

2.3、授权帐号规范

(1) 程序必须建立独立的专用的数据库帐号;
(2) 帐号限定只有指定的、必要的IP可以连接,禁止设置为all或一个网段。
(3) 禁止跨机房授权数据库权限;
(4) 前台应用程序使用的帐号默认只有SELECT, INSERT, UPDATE, DELETE权限,如需增加需要开发人员给出具体需求说明后再增加。
(5) 线上重要数据库禁止使用trust方式进行认证,必须使用md5方式。是否重要数据库由安全组界定。

2.5、授权密码规范

口令设置必须满足复杂度。

3、目录权限

数据库目录权限必须设置为700,避免其他用户直接操作数据库文件。

4、清除命令记录

清除用户操作历史记录,避免其他用户通过历史命令行获取敏感信息。
$rm ~/.bash_history ~/.psql_history
$ln -s /dev/null ~/.bash_history
$ln -s /dev/null ~/.psql_history

发表评论