我相信 PostgreSQL 可以记录缓慢或不成功的查询。可能我也可以设置 PostgreSQL 来记录所有执行的查询。相反,如果我尽可能地禁用了日志记录,我很想知道恶意攻击者是否可以访问在 PostgreSQL 服务器上成功执行的所有查询。这可能吗?或者一旦成功执行查询(可能是 SELECT 或 UPDATE 查询),我可以 100% 确定 DB 服务器没有成功执行查询的内存,因此没有其他人可以访问此信息。我正在使用 PostgreSQL 9.3。
AskOverflow.Dev
我相信 PostgreSQL 可以记录缓慢或不成功的查询。可能我也可以设置 PostgreSQL 来记录所有执行的查询。相反,如果我尽可能地禁用了日志记录,我很想知道恶意攻击者是否可以访问在 PostgreSQL 服务器上成功执行的所有查询。这可能吗?或者一旦成功执行查询(可能是 SELECT 或 UPDATE 查询),我可以 100% 确定 DB 服务器没有成功执行查询的内存,因此没有其他人可以访问此信息。我正在使用 PostgreSQL 9.3。
不,您永远无法 100% 确定这一点。
PostgreSQL 维护一个内部计划缓存。目前这个缓存只用于准备好的语句;一次性语句不会进入缓存。但是,如果您使用准备好的语句,则计划将被缓存,并且当不再需要缓存的计划时,它会失效,但不一定会删除,直到缓存它的 PostgreSQL 后端退出。
PostgreSQL 将查询字符串存储在内部调试变量中。当新查询替换旧查询时,调试变量将被覆盖。如果新查询比旧查询短,一些旧查询不会被覆盖。
由于内存压力,查询可能正在运行将内存页写入交换空间中的磁盘的后端。该内存可能包含查询字符串和/或参数。即使在查询完成并且后端退出后,也不必覆盖此交换空间。如果服务器突然关闭,则可以对硬盘驱动器进行取证分析,并可能发现查询文本。
当 PostgreSQL 释放内部查询计划器/执行器对象时,它不会将它们归零。它只是将内存标记为可重复使用。此内存保持映射直到 PostgreSQL 后端退出,并且可能包含查询文本、参数值等。
当 PostgreSQL 后端退出时,内核通常不会将其内存归零,只是将其标记为已释放。可以利用内核获得原始内存读取访问权限的攻击者随后可以看到一些过去(当然还有所有当前)的查询。
因此,如果:
您已使用引导时交互提供的密码加密交换空间;
您接受任何对机器有物理访问权限的人都可能能够利用它来检索最近的查询历史;
您了解具有 root 访问权限或以
postgres系统用户身份访问的任何人都可以跟踪 PostgreSQL 的执行并捕获查询数据(只是不能追溯);和在运行该查询的单个 PostgreSQL 后端退出后,您只关心查询文本的可恢复性
那么关闭日志记录可能就足够了。您还需要避免使用可能会捕获查询文本并将其记录在数据库中的扩展名
pg_stat_plans和。pg_stat_statementspostgres请注意,如果安装了 PL/Python、PL/Perl 等,或者存在一些 contrib 模块,那么将数据库用户(或其他超级用户)的访问权限提升到postgresshell 用户可能相当容易。从那里您可以重新配置数据库以启用日志记录、安装扩展、注入 C 代码等。无法保证您会检测到此类漏洞,因此它们可能会记录活动一段时间。即使作为表所有者也可以访问的攻击者可能会
FOR EACH STATEMENT在感兴趣的表上安装触发器,以记录影响这些表的查询。这不适用于SELECT,但适用于其他一切。他们甚至不需要成为数据库超级用户。通常,您的查询不应该像查询参数数据那样对安全敏感。
libpq您可以通过使用适当的绑定参数(例如'sPQexecParams、PgJDBC 的PreparedStatement类等)大大减少它被捕获或记录的机会。不过,最重要的是……如果您想维护数据库的安全性,请不要丢失特权访问凭据。请勿使用数据库服务器以外的超级用户帐户,并进行设置
pg_hba.conf以使超级用户无法远程登录。不要让应用程序以拥有它们使用的表的同一帐户连接到数据库,使用不同的帐户并且GRANT仅使用它们所需的权限。等等IMO PostgreSQL 需要在协议中进行扩展,以便您将查询参数标记为“敏感”。此类查询参数绝不应在日志文件中发出,显示
pg_stat_activity或以其他方式记录。不过,此功能目前不存在,而且我不知道有人在使用它