背景
1、产品的问题点
- PG 没有基于角色权限的ACL控制
2、问题点背后涉及的技术原理
- PG 通过pg_hba.conf 配置访问控制规则, 配置条目包括
# local DATABASE USER METHOD [OPTIONS] # host DATABASE USER ADDRESS METHOD [OPTIONS] # hostssl DATABASE USER ADDRESS METHOD [OPTIONS] # hostnossl DATABASE USER ADDRESS METHOD [OPTIONS] # hostgssenc DATABASE USER ADDRESS METHOD [OPTIONS] # hostnogssenc DATABASE USER ADDRESS METHOD [OPTIONS]
- 只能控制到user级别, 而这个USER到底是普通用户还是superuser并不知道
- 拒绝或允许连接是在建立连接之前完成, 数据库端通过协议层获取到客户连接的username, dbname, IP, 即可通过ACL规则进行判断是否放行.
- 如果要实现USER对应的角色来进行判定, 需要查询元数据, 使得认证过程变得更复杂.
postgres=# \d pg_shadow View "pg_catalog.pg_shadow" Column | Type | Collation | Nullable | Default --------------+--------------------------+-----------+----------+--------- usename | name | | | usesysid | oid | | | usecreatedb | boolean | | | usesuper | boolean | | | userepl | boolean | | | usebypassrls | boolean | | | passwd | text | C | | valuntil | timestamp with time zone | | | useconfig | text[] | C | | postgres=# \d pg_roles View "pg_catalog.pg_roles" Column | Type | Collation | Nullable | Default ----------------+--------------------------+-----------+----------+--------- rolname | name | | | rolsuper | boolean | | | rolinherit | boolean | | | rolcreaterole | boolean | | | rolcreatedb | boolean | | | rolcanlogin | boolean | | | rolreplication | boolean | | | rolconnlimit | integer | | | rolpassword | text | | | rolvaliduntil | timestamp with time zone | | | rolbypassrls | boolean | | | rolconfig | text[] | C | | oid | oid | | |
3、这个问题将影响哪些行业以及业务场景
- 通用
4、会导致什么问题?
- 无法满足超级用户角色的通用规则配置, 例如不允许超级用户使用非unix socket端口连接, 这也可能是某些企业的安全规则. 防止超级用户通过tcpip从本地或网络层访问, 造成更大破坏力.
5、业务上应该如何避免这个坑
- 找到所有的超级用户, 并在pg_hba.conf中逐条配置, 例如
host all sup1,sup2,sup3 0.0.0.0/0 reject local all sup1,sup2,sup3 md5
6、业务上避免这个坑牺牲了什么, 会引入什么新的问题
- 如果用户的角色权限发生变化, 需要重新调整pg_hba.conf, 管理成本增加, 也容易出现遗漏.
7、数据库未来产品迭代如何修复这个坑
- 希望内核层支持, 例如使用login hook来进行多重条件判定, 支持更多的规则.