Início / dba / Perguntas / 10142
Accepted
mit
Asked: 2012-01-05 06:19:25 +0800 CST

Como impossibilitar que um usuário postgres exclua bancos de dados?

  • 772

Qual seria a instrução sql (que o usuário postgres executará) para que seja impossível para o usuário postgres user1excluir (soltar) bancos de dados?

Ou posso adicionar uma regra em algum arquivo de configuração?

postgresql permissions

2 respostas

  1. Best Answer

    No PostgreSQL, apenas o proprietário de um banco de dados pode descartar um banco de dados . (Superusuários podem descartar bancos de dados, mas esse é um problema diferente.) Portanto, alterar o proprietário é a maneira mais direta de impedir que o usuário1 exclua quaisquer bancos de dados.

    Corrija isso com ALTER DATABASE .

    ALTER DATABASE name OWNER TO new_owner

    Para alterar o proprietário, você deve possuir o banco de dados e também ser um membro direto ou indireto da nova função proprietária e deve ter o privilégio CREATEDB. (Observe que os superusuários têm todos esses privilégios automaticamente.)

    Para devolver permissões específicas ao user1, use GRANT . Você provavelmente está procurando por algo como

    GRANT ALL PRIVILEGES ON ALL TABLES IN SCHEMA schema_name TO user1;

    Mas leia primeiro a documentação do GRANT. Você pode precisar de WITH GRANT OPTION, permissões em sequências, algo menor que ALL PRIVILEGES e assim por diante.

    • 4

  2. Regras do Postgresql para impedir que um tipo de evento aconteça em um objeto:

    \dn                                        --shows your schema name 
SELECT session_user, current_user;         --shows your user 

--create a regular table with some data in it:
drop table if exists mytable; 
CREATE TABLE mytable( index integer, foo character varying(10)); 
insert into mytable values (3, 'yatta'); 
insert into mytable values (9, 'phobos'); 
select * from mytable; 
┌───────┬────────┐ 
│ index │  foo   │ 
├───────┼────────┤ 
│     3 │ yatta  │ 
│     9 │ phobos │ 
└───────┴────────┘ 
--Make a rule to stop deletes on a table:
CREATE or replace RULE mytable_del_protect AS ON DELETE TO mytable 
DO INSTEAD NOTHING; 

--Try to do a delete on the table
delete from mytable where index = 3;    --delete succeeds and affects 0 rows
select * from mytable;    --row you deleted is still there 
 
--Clear the rule: 
drop RULE mytable_del_protect on mytable; 
--once again try to delete
delete from mytable where index = 3;     --delete succeeds, affects 1 row
┌───────┬────────┐ 
│ index │  foo   │ 
├───────┼────────┤ 
│     9 │ phobos │ 
└───────┴────────┘

    Listar regras do postgresql:

    Suas informações de regra são codificadas em pg_rewrite pg_classe pg_namespace:

    select n.nspname as rule_schema, c.relname as rule_table, 
   case r.ev_type 
     when '1' then 'SELECT' 
     when '2' then 'UPDATE' 
     when '3' then 'INSERT' 
     when '4' then 'DELETE' 
     else 'UNKNOWN' 
   end as rule_event 
from pg_rewrite r join pg_class c on r.ev_class = c.oid 
  left join pg_namespace n on n.oid = c.relnamespace 
  where c.relname = 'mytable'

┌─────────────┬────────────┬────────────┐ 
│ rule_schema │ rule_table │ rule_event │ 
├─────────────┼────────────┼────────────┤ 
│ public      │ mytable    │ DELETE     │ 
└─────────────┴────────────┴────────────┘

    Em vez de uma regra não fazer nada na exclusão evitada, você pode chamar um procedimento. Você pode criar uma regra para fazer qualquer coisa, em qualquer tipo de evento em qualquer tipo de objeto de banco de dados.

    • 0

relate perguntas