设置文件权限安全策略
背景信息
数据库在安装过程中,会自动对其文件权限(包括运行过程中生成的文件,如日志文件等)进行设置。其权限规则如下:
- 数据库程序目录的权限为0750。
- 数据库数据文件目录的权限为0700。
集群部署时通过创建xml配置文件中的tmpMppdbPath参数指定目录(若未指定,则默认创建/tmp/$USER_mppdb目录)来存放“.s.PGSQL.*”文件,该目录和文件权限设置为0700。
- 数据库的数据文件、审计日志和其他数据库程序生成的数据文件的权限为0600,运行日志的权限默认不高于0640。
- 普通操作系统用户不允许修改和删除数据库文件和日志文件。
数据库程序目录及文件权限
数据库安装后,部分程序目录及文件权限如表1所示。
文件/目录 |
父目录 |
权限 |
|---|---|---|
bin |
- |
0700 |
lib |
- |
0700 |
share |
- |
0700 |
data(DN/CN) |
- |
0700 |
base |
实例数据目录 |
0700 |
global |
实例数据目录 |
0700 |
pg_audit |
实例数据目录(可配置) |
0700 |
pg_log |
实例数据目录(可配置) |
0700 |
pg_xlog |
实例数据目录 |
0700 |
postgresql.conf |
实例数据目录 |
0600 |
pg_hba.conf |
实例数据目录 |
0600 |
postmaster.opts |
实例数据目录 |
0600 |
pg_ident.conf |
实例数据目录 |
0600 |
gs_initdb |
bin |
0700 |
gs_dump |
bin |
0700 |
gs_ctl |
bin |
0700 |
gs_guc |
bin |
0700 |
gsql |
bin |
0700 |
cm_ctl |
bin |
0700 |
gs_gtm |
bin |
0700 |
gds |
bin |
0700 |
gs_redis |
bin |
0700 |
gs_clean |
bin |
0700 |
gs_running_xacts |
bin |
0700 |
archive_status |
pg_xlog |
0700 |
libpq.so.5.5 |
lib |
0600 |
建议
数据库在安装过程中,会自动对其文件权限(包括运行过程中生成的文件,如日志文件等)进行设置,适合大多数情况下的权限要求。如果用户产品对相关权限有特殊要求,建议用户安装后定期检查相关权限设置,确保完全符合产品要求。
查看更多:华为GaussDB 200 设置数据库审计
「喜欢这篇文章,您的关注和赞赏是给作者最好的鼓励」
关注作者
【版权声明】本文为墨天轮用户原创内容,转载时必须标注文章的来源(墨天轮),文章链接,文章作者等基本信息,否则作者和墨天轮有权追究责任。如果您发现墨天轮中有涉嫌抄袭或者侵权的内容,欢迎发送邮件至:contact@modb.pro进行举报,并提供相关证据,一经查实,墨天轮将立刻删除相关内容。
