前言
数据库可能会通过不正确处理的错误消息无意中向攻击者提供大量信息。除了敏感的业务或个人信息之外,数据库错误还可以提供主机名,IP地址,用户名以及其他系统信息,这些信息不是故障排除所必需的,但对攻击系统的人非常有用。
一、检查配置
以数据库管理员身份,运行以下SQL:
SELECT current_setting('client_min_messages');
例如查询结果如下图。
如果client_min_messages未设置为error,则存在安全风险。
二、加固建议
注意:以下说明使用PGDATA环境变量。
以数据库管理员身份,编辑“postgresql.conf”:
# 切换postgres用户
su - postgres
# 编辑postgresql.conf配置文件
vi $ PGDATA/postgresql.conf
将client_min_messages参数更改为“error”。
总结
PostgreSQL必须向非特权用户提供尽可能少的信息,限制PostgreSQL数据库的日志级别,则不会泄露可被攻击者利用的信息。