PostgreSql数据库安全加固

1.确保通过“主机” TCP / IP套接字登录已正确配置

描述

大量的身份验证方法可用于使用

TCP / IP套接字，包括：

?信任

? 拒绝

?md5

?scram-sha-256

?密码

?gss

?sspi

?身份

?pam

?ldap

?半径

?证书

方法trust，password和ident不能用于远程登录。 方法md5是

最受欢迎，可以在加密和未加密会话中使用，但是

容易受到数据包重播攻击。 建议使用scram-sha-256

而不是md5。

使用gss，sspi，pam，ldap，radius和cert方法，但比md5更安全，

取决于外部认证过程/服务的可用性，因此

未包含在此基准测试中。

加固建议

在配置文件(pg_hba.conf)中如下配置

# TYPE     DATABASE     USER         ADDRESS              METHOD
    host           all            postgres    127.0.0.1/32    scram-sha-256

配置文件路径可登录postgres数据库 show hba_file;进行查看

2.确保已禁用“ debug_print_plan”

描述

debug_print_plan设置启用打印每个已执行查询的执行计划。

这些消息在LOG消息级别发出。除非您另有指示

组织的日志记录策略，建议通过将其设置为off来禁用此设置。

加固建议

1.进入postgresql数据库,执行命令show debug_print_plan; 查看状态

2.执行命令

alter system set debug_print_plan = 'off';

select pg_reload_conf();

3.重复执行步骤1，查看状态是否为off(关闭) 请注意： 如果您的postgresql版本在9.3（或更早），请修改配置文件 postgresql.conf 中配置

debug_print_plan = 'off'

并重启

3.确保已禁用“ debug_print_rewrite”

描述

debug_print_rewrite设置允许为每个输出打印查询重写器输出

执行查询。这些消息在LOG消息级别发出。除非有指示

否则，根据您组织的日志记录策略，建议禁用此设置

通过将其设置为关闭

加固建议

1.进入postgresql数据库,执行命令 show debug_print_rewritten; 查看状态

2.执行命令

alter system set debug_print_rewritten = 'off';

select pg_reload_conf(); 3.重复执行步骤1，查看状态是否为off(关闭) 请注意： 如果您的postgresql版本在9.3（或更早），请修改配置文件 postgresql.conf 中配置 debug_print_rewritten= 'off'`

并重启

4.确保已禁用“ debug_print_parse”

描述

debug_print_parse设置启用为每次执行打印结果分析树

查询。 这些消息在LOG消息级别发出。 除非另有指示

您组织的日志记录策略，建议通过设置禁用此设置

关闭。

加固建议

1.进入postgresql数据库,执行命令 show debug_print_parse;

查看状态 2.执行命令

alter system set debug_print_parse = 'off';

select pg_reload_conf();

3.重复执行步骤1，查看状态是否为off(关闭) 请注意： 如果您的postgresql版本在9.3（或更早），请修改配置文件 postgresql.conf 中配置

debug_print_parse = 'off'

并重启

5.确保正确设置了日志目标

描述

PostgreSQL支持多种记录服务器消息的方法，包括stderr，

csvlog和syslog。 在Windows上，也支持eventlog。 这些中的一个或多个

应该为服务器日志输出设置目的地。

加固建议

1.进入postgresql数据库,执行命令 show log_destination; 查看状态

2.执行命令 alter system set log_destination = 'csvlog'; select pg_reload_conf();

3.重复执行步骤1，查看状态是否为'csvlog'

6.密码复杂度检查

描述

检查密码长度和密码是否使用多种字符类型

加固建议

修改shared_preload_libraries参数

$ vi postgresql.conf

新增配置项

shared_preload_libraries = 'passwordcheck'

切换到数据库启动用户：如 u -postgres

执行命令

pg_ctl -D $PGDATA restart

使配置生效(如未配置系统变量pg_ctl 默认在安装的bin目录下)

如果您没有安装配置passwordcheck（自带的第三方插件，建议重新安装） 如不能重装，可考虑加白名单。

7.确保撤销过多的管理特权

描述

关于PostgreSQL管理SQL命令，仅超级用户应具有

特权提升。 PostgreSQL常规或应用程序用户不应具备此能力

创建角色，创建新数据库，管理复制或执行任何其他操作

被视为特权。 通常，普通用户只应被授予

与管理应用程序相对应的特权：

?DDL（创建表，创建视图，创建索引等）

?DML（选择，插入，更新，删除）

此外，为DDL和DML创建单独的角色已经成为最佳实践。 给定一个

名为“工资单”的应用程序，将创建以下用户：

?payroll_owner

?payroll_user

DML特权仅授予“ payroll_owner”帐户，而DML

特权将仅授予“ payroll_user”帐户。 这样可以防止意外

通过作为应用程序运行的应用程序代码创建/更改/删除数据库对象

“ payroll_user”帐户

加固建议

1.进入postgresql数据库，执行select usename from pg_user;,查看用户

2.执行\du 用户名;，分别查看用户权限，要求除超级用户，审计员，管理员外，尽可能的降低普通用户的权限

3.确保只有一个超级用户（例:postgres）,普通用户的权限应比超级用户更低

4.找到您需要限制的用户(username)，执行以下一条或多条命令

8.禁止以root用户直接启动数据库

描述

以postgres用户启动，降低数据库在系统中的权限占比

加固建议

建议以postgres用户启动

9.建议修改数据库的默认端口

描述

避免使用熟知的端口，降低被初级扫描的风险

加固建议

在配置文件(postgresql.conf)中修改端口 如：

port = 5433

修改后连接时也需更改对应端口

10.确保文件权限掩码正确

描述

始终使用默认权限集创建文件。文件权限可以是

通过应用称为umask的权限掩码进行限制。 Postgres用户帐户

应该使用umask 077拒绝对除所有者以外的所有用户帐户的文件访问。

加固建议

whoami
postgres
$ cd ~
$ ls -ld .{bash_profile,profile,bashrc}
$ echo "umask 077" >> .bash_profile
$ source .bash_profile
$ umask
0077

如上述示例，在~/.bash_profile, ~/.profile , ~/.bashrc的任意一个文件末尾添加umask 077并执行 source ~/.bash_profile | ~/.profile | ~/.bashrc使其生效在postgres用户下输入umask查看返回值验证,弱返回值为077或0077，则符合要求