Início / dba / Perguntas / 316810
Accepted
MacGyver
Asked: 2022-09-13 12:22:56 +0800 CST

encontre e remova dependências de objeto de esquema público para uma função no postgresql

  • 772

Semanas atrás, quando eu estava aprendendo a segurança do PostgreSQL, estava tentando fazer algumas coisas estranhas (embora não recomendadas) para remover o esquema público do navegador de objetos no pgadmin. Felizmente, tenho todos os comandos que executei e todos os comandos de desfazer que executei, mas ainda pareço ter um objeto de função que não consigo descartar. Estou recebendo um erro ao tentar DROP ROLE test_role_11, mas ainda pareço ter dependências de objeto no esquema público. Você pode me ajudar a encontrar a consulta para descobrir o que é? Você também pode me ajudar a encontrar o comando REVOKE correto (ou outro) para desfazer as dependências e/ou privilégios, dada a primeira consulta? PUBLIC parece ser seu próprio desafio e não uma função real, então não tenho certeza de como escrever a consulta. Eu tentei usar perguntas antigas, mas não cheguei muito longe.

Exceção/Erro:

a função "test_role_11" não pode ser descartada porque alguns objetos dependem dela DETALHE: privilégios para o esquema público

Aqui estão as consultas que fiz.

CREATE ROLE test_role_11 
--NOSUPERUSER NOCREATEDB NOCREATEROLE NOINHERIT NOLOGIN NOREPLICATION NOBYPASSRLS
REVOKE ALL ON ALL TABLES IN SCHEMA pg_catalog FROM public, me;
--GRANT ALL ON ALL TABLES IN SCHEMA pg_catalog TO public, me;
GRANT SELECT ON ALL TABLES IN SCHEMA pg_catalog TO test_role_11;
--REVOKE SELECT ON ALL TABLES IN SCHEMA pg_catalog FROM test_role_11;
GRANT test_role_11 TO me
--REVOKE object_browser FROM me;

--GRANT SELECT ON TABLE aaa IN SCHEMA pg_catalog TO test_role_11;

GRANT SELECT ON TABLE pg_catalog."aaa" TO test_role_11;
GRANT SELECT ON TABLE staging."aaa" TO test_role_11;

GRANT SELECT ON TABLE pg_database TO test_role_11;

Eles não encontraram nenhuma dependência de objeto para minha função.

Localizar objetos vinculados a uma função do PostgreSQL

postgresql

1 respostas

  1. Best Answer

    Depois de procurar em todas as tabelas do catálogo, consegui encontrar alguns registros com o oid desse objeto. Mas ainda não tenho certeza do que fazer com essa informação.

    SELECT rolname, oid FROM pg_roles WHERE rolname = 'test_role_11';

-- rolname, oid
-- test_role_11, 612646

SELECT DISTINCT dbid, * FROM   pg_shdepend WHERE refobjid = 612646

-- dbid, classid, objid, objsubid, refclassid, refobjid, deptype
-- 612032, 2615, 2200, 0, 1260, 612646, a
-- obj* must be the dependent object (aka 'test_role_11')
-- ref* must be the dependency object

SELECT * FROM pg_database WHERE oid = 612032

-- oid, datname
-- 612032, p01

SELECT * FROM  pg_catalog.pg_class WHERE oid = 2615

-- oid, relname, relnamespace, reltype, reloftype, relowner, relam, relfilenode, reltablespace, relpages, reltuples, relalvisible, reltoastrelid, 
-- 2615, pg_namespace, 11, 12023,  ...

SELECT * FROM pg_namespace WHERE oid = 11;

-- oid, nspname, nspowner, nspacl
-- 11, pg_catalog, 10, {postgres=UC/postgres,=U/postgres}

SELECT * FROM pg_namespace WHERE oid = 2200

-- oid, nspname, nspowner, nspaci
-- 2200, public, 10, {postgres=UC/postgres,=UC/postgres,test_role_11=U/postgres}

    Então acontece que o objeto dependente que faz referência ao objeto de dependência (ref*) é 2200, que é o próprio esquema público! Então eu preciso mudar a propriedade dessa função (talvez).

    Aqui está o que eu aprendi. O dependente (pai), sendo oid=2200, da dependência pode ser de qualquer tipo de objeto. Portanto, é complicado descobrir em qual tabela está. Há também duas tabelas que possuem as dependências. Esta dependência não estava no pg_depend!

    No PostgreSQL as dependências dos objetos do banco de dados são rastreadas na tabela do sistema pg_depend. Há também outra tabela de sistema pg_shdepend que rastreia as dependências de objetos que são compartilhados em todos os bancos de dados presentes no cluster.

    Isso resolveu o problema! E foi capaz de DROP ROLE test_role_11 depois disso.

    REVOKE ALL ON SCHEMA public FROM test_role_11;
    • 0

relate perguntas