背景
1、产品的问题点
- PG 某些敏感信息未隐藏, 存在安全隐患
2、问题点背后涉及的技术原理
- 创建用户、修改用户密码时, SQL可能被记录在日志, sql history, 动态会话(pg_stat_activity, pg_stat_statements)中. 密码部分原样显示.
- 视图超级用户可见,
- 文件操作系统数据库启动用户可见.
- 使用dblink时, 需要填入远程连接密码, 该密码在元数据定义表中, 超级用户、创建DBLINK的用户均可见.
- 使用FDW时, 在mapping表需要填入远程连接密码, 该密码超级用户可见.
- 使用视图时, 如果视图是DBLINK组成, 那么需要填入远程连接密码, 该密码超级用户、创建DBLINK的用户均可见.
3、这个问题将影响哪些行业以及业务场景
- 通用
4、会导致什么问题?
- 增加了管理复杂度, 如果权限未严格管控, 可能导致密码泄露.
5、业务上应该如何避免这个坑
- 严格控制权限, 不仅是数据库, 更重要点是SQL审计日志, SQL历史等文件的权限管控
6、业务上避免这个坑牺牲了什么, 会引入什么新的问题
- 管理复杂度增加, 而且很容易出现漏洞
7、数据库未来产品迭代如何修复这个坑
- 日志类敏感信息建议隐藏或加密处理
- 必要的密码存储, 建议加密存储, 例如数据库启动时输入加密密钥 或 远程LDAP等管理加密密钥.