前言
数据库对象(包括但不限于表,索引,存储,触发器过程,函数,外部表等)必须由授权拥有的数据库/ DBMS主体拥有。
一、检查风险
连接数据库后,执行以下命令检查数据库对象归属,如果发现任何数据库对象由未被授权拥有数据库对象的用户拥有,则存在安全风险。
--检查schema
\dn *.*
--检查表
\dt *.*
--检查序列
\ds *.*
--检查视图
\dv *.*
--检查函数
\df *.*
--检查物化视图
\dm *.*
下图以检查表对象所有者为例。如果某个对象不属于授权角色的所有权,则存在安全风险。
二、加固建议
在数据库中,对象所有权意味着拥有对象的完全特权,包括将拥有对象的访问权限分配给其他主体的特权。可以使用定义者的权限对数据库函数和过程进行编码。这允许任何使用该对象的人在他们是所有者时执行操作。如果管理不当,这可能导致未经授权的个人采取特权行动。相反,如果关键表或其他对象依赖于未经授权的所有者帐户,则在删除帐户时这些对象可能会丢失。
建议:需要将授权对象的所有权分配给授权对象所有者帐户。
总结
1、如需要创建schema请执行以下命令:
CREATE SCHEMA test AUTHORIZATION [rolename]
2、修改schema的所有者请执行以下命令
ALTER SCHEMA test OWNER TO [rolename]