Início / dba / Perguntas / 17790
Accepted
mikeplate
Asked: 2012-05-14 00:58:10 +0800 CST

O usuário criado pode acessar todos os bancos de dados no PostgreSQL sem nenhuma concessão

  • 772

Devo estar faltando alguma coisa com relação à configuração do PostgreSQL. O que eu gostaria de fazer é criar vários bancos de dados e usuários isolados uns dos outros para que um usuário específico tenha acesso apenas aos bancos de dados que eu especificar. No entanto, pelo que posso determinar, qualquer usuário criado tem acesso a todos os bancos de dados sem que nenhuma concessão específica seja fornecida.

Aqui está o que eu faço em um Ubuntu Server 12.04:

  1. apt-get instala postgresql
  2. sudo -u postgres createuser -DRSP mike1 (Especificando a senha para o novo usuário)
  3. sudo -u postgres createdb data1
  4. psql -h localhost -U mike1 data1 (Especificando a senha para o usuário mike1 fazer login)

Parece que o novo usuário "mike1" não tem problemas para se conectar ao banco de dados "data1" e criar tabelas etc. E isso sem executar nenhum comando GRANT (e o proprietário de "data1" é "postgres" já que não especifiquei um proprietário na etapa 3). É realmente assim que deve funcionar?

O que eu gostaria de fazer é conceder ao mike1 acesso total ao data1 e, em seguida, repetir isso para mais usuários e bancos de dados, certificando-se de que os usuários tenham acesso apenas a um (ou possivelmente vários) bancos de dados de minha escolha.

postgresql permissions

4 respostas

  1. Best Answer

    No nível SQL, cada usuário pode de fato se conectar a um banco de dados recém-criado, até que o seguinte comando SQL seja emitido:

    REVOKE connect ON DATABASE database_name FROM PUBLIC;

    Uma vez feito, cada usuário ou função que deve ser capaz de se conectar deve receber explicitamente o privilégio de conexão:

    GRANT connect ON DATABASE database_name TO rolename;

    Editar: em um cenário multilocatário, mais do que apenas o connectprivilégio seria removido. Para dicas de multilocação e práticas recomendadas, você pode ler no wiki público do postgresql: Shared Database Hosting and Managing rights in PostgreSQL .

    • 69

  2. PUBLIC tem acesso ao banco de dados por padrão, mas não pode acessar os dados. Você pode REVOGAR o PÚBLICO:

    REVOKE CONNECT ON DATABASE your_database FROM PUBLIC;

    Se você quiser essa configuração para todos os bancos de dados futuros, revogue CONNECT no banco de dados template1 (banco de dados de modelo padrão para criar um novo banco de dados):

    REVOKE CONNECT ON DATABASE template1 FROM PUBLIC;
    • 33

  3. Além de revogar os privilégios de conexão de PUBLIC por padrão e concedê-los conforme especificamente desejado, o outro nível no qual você pode controlar o acesso é através do arquivo pg_hba.conf.

    Você pode encontrar onde o arquivo está armazenado com:

    SHOW hba_file;

    Se você optar por usar esse mecanismo, há comentários incorporados que podem ser suficientes para você começar. Os documentos estão aqui:

    http://www.postgresql.org/docs/current/interactive/auth-pg-hba-conf.html

    • 4

  4. Me deparei com este tópico procurando uma maneira de impedir que os usuários listem os outros nomes de banco de dados. O REVOKE CONNECTnão impede isso.

    De acordo com as respostas a esta pergunta SO , não há uma maneira (recomendável) de alcançá-lo.

    • 0

relate perguntas