Метка: БД

Введение.

Изучая основы работы сервера PostgreSQL, переходим к рассмотрению вопросов обеспечения безопасности пользователей использующих БД PgSQL. В статье PostgreSQL Linux часть 4, мы будем рассматривать такие важные понятия как пользователи и роли.

Основу защиты учётных записей пользователей PgSQL формируют пользовательские роли и пароли.

Все статьи посвящённые PostgreSQL см.

тэг БД или поиск postgres

Подготовка PostgreSQL Linux часть 4.

• Стенд
  • Cервер ALT Linux, имя: lin-pq; IP 10.0.2.11;
    • Simply Linux, имя: lin-sl, IP=10.0.2.30
    • Пользователь, имя: trt

Роль — это пользователь СУБД или, если пользоваться терминологией ОС Linux, Windows — группа. Роли не связаны с именами пользователей ОС. Роли являются общими объектами для PgSQL, могут подключаться к разным базам и быть владельцами для объектов различных БД.

Команды управления ролями PostgreSQL Linux часть 4.

• Список основных команд для управления ролями:
  • CREATE ROLE — вызывается из psql
  • DROP ROLE — вызывается из psql
  • ALTER ROLE — вызывается из psql
  • createuser — вызываются из командной строки ОС
  • dopuser — вызываются из командной строки ОС

• CREATE ROLE — создать роль в базе данных
  • CREATE ROLE имя [ [WITH] параметр [ …] ]
    • параметр
      • LOGIN — вход на сервер
      • SUPERUSER — суперпользователь
      • CREATEDB — создавать базы данных
      • CREATEROLE — создавать, изменять, удалять роли
      • REPLICATION — выполнять репликации
      • и другие…

Параметры (атрибуты) имеют два варианта, пример, CREATEDB (дает право на создание БД) и NOCREATEDB (не дает такого права), по умолчанию выбирается ограничивающий вариант.

• DROP ROLE — удалить роль в базе данных
  • DROP ROLE [ IF EXISTS ] имя [, …]
    • _{IF EXISTS — не считать ошибкой, если роль не существует}

• ALTER ROLE — изменяет атрибуты роли
• ALTER ROLE имя [ [WITH] параметр [ …] ]
  • параметр
    • SUPERUSER
    • NOSUPERUSER
    • CREATEDB
    • NOCREATEDB
    • CREATEROLE
    • NOCREATEROLE
    • INHERIT
    • NOINHERIT
    • LOGIN
    • NOLOGIN
    • REPLICATION
    • NOREPLICATION
    • BYPASSRLS
    • NOBYPASSRLS
    • CONNECTION LIMIT предел_подключений
    • [ ENCRYPTED ] PASSWORD ‘пароль‘
    • PASSWORD NULL
    • VALID UNTIL ‘дата_время‘

• createuser — создать новую учётную запись PostgreSQL
  • createuser [параметр…] [имя_пользователя]
    • параметр
      • -c номер количество соединений
      • -d может создавать базы данных
      • -D не может создавать базы данных
      • -g role роль, к которой будет добавлена текущая роль
      • -i наследовать права ролей
      • -I не наследовать права ролей
      • -l может подключаться к серверу
      • -L не может подключаться к серверу
      • -r может создавать, изменять и удалять роли
      • -R не может создавать, изменять и удалять роли
      • -s имеет права суперпользователя
      • -S не имеет права суперпользователя
      • —interactive диалоговый режим для параметров
      • и другие…

createuser — та же функциональность, что и команда CREATE ROLE

• dopuser — удалить учётную запись пользователя PostgreSQL
  • dropuser [параметр…] [имя_пользователя]
    • параметр
      • -i диалоговый режим
      • -e журнал выполнения команд

dopuser — та же функциональность, что и команда DROP ROLE

Управление ролями PostgreSQL Linux часть 4.

Перейдём к практическим действиям использования ролей. Для начала посмотрим, какие роли, пользователи, БД существуют после установки и первичной настройки PgSQL.

Для сокращения фрагментации кода, строки

$ sudo su - postgres -s /bin/bash
-bash-4.4$ psql

будут в дальнейшем опущены, мы внутри psql

Создадим новую базу данных.

postgres=# CREATE DATABASE trest;

Введём в нашу БД новую роль (пользователя)

postgres=# CREATE ROLE trt LOGIN CREATEROLE;

Установим пароль для пользователя trt.

postgres=#  \password trt
Введите новый пароль для пользователя "trt":********** 
Повторите его:**********

Проверяем наши действия, пробуем подключится.

$ psql -U trt
Пароль пользователя trt: 
...
trt=> 

Используя ключ du смотрим роли.

Пользователь trt не обладает привилегированной ролью, мы вынужденны, для управления, обращаться к роли postgres. Это неправильно, тем более, что консольные команды createuser и dopuser для postgres не доступны, он не имеет регистрации в OC и это хорошо. Узко — целевое значение пользователя postgres, один из элементов безопасности БД — postgres владеет только теми данными, которыми управляет сервер БД.

Рекомендуется не назначать пользователя postgres владельцем исполняемых файлов PgSQL, чтобы их нельзя было подменить в случае компрометации серверного процесса.

Не совсем удобно постоянно пользоваться записью postgres, поэтому наделим пользователя trt привилегированными ролями.

Добавление административной роли.

Пользователь trt может только создавать роли, добавим ему некоторые привилегированные права, что бы разгрузить запись postgres.

Заключение.

Тема управления ролями PostgreSQL широка и требует более глубокого рассмотрения. Читайте продолжение статьи в следующей части PostgreSQL Linux часть 5.

Полезные ссылки.

• Сайт
• Форум
• Документация

Введение.

Продолжая изучение PgSQL переходим к рассмотрению специальной учётной записи postgres. Ранние мы кратко упоминали о пользователе postgres, см.часть2, теперь, в PostgreSQL Linux часть3, рассмотрим этот вопросе более подробно.

Все статьи посвящённые PostgreSQL см.

тэг БД или поиск postgres

Подготовка PostgreSQL Linux часть 3.

• Стенд
  • Cервер ALT Linux, имя: lin-pq; IP 10.0.2.11;
    • PostgreSQL X.X
      • метод аутентификации md5
  • Simply Linux, имя: lin-sl, IP=10.0.2.30
  • Пользователь. имя: trt

Пользователь PostgreSQL Linux часть3.

При установке БД, создаётся пользователь, который регистрируется в операционной системе с именем — postgres. Учётная запись postgres обладает ролью суперпользователя, для кластера PqSQL и методом аутентификации, из «коробки», trust.

Пример атрибутов пользователя postgres для PostgreSQL Linux часть3.

$ id postgres
uid=46(postgres) gid=46(postgres) группы=46(postgres)

Многие программы требуют при конфигурации своих служб , устанавливать пароль для работы с БД.

• PostgreSQL предлагает несколько вариантов аутентификации:
  • trust
  • password
    • scram-sha-256
    • md5
    • password
  • GSSAPI
  • SSPI
  • ident
  • peer
  • LDAP
  • RADIUS
  • по сертификату SSL
  • RAM
  • BSD

Из списка приведённого выше, остановимся на методе аутентификации md5, как более распространённым. Для включения md5, необходимо внести изменения в файл /var/lib/pgsql/data/pg_hba.conf.

Перед выполнением создадим резервную копию файла pg_hba.conf.

Возврат старой копии файла pg_hba.conf, если требуется.

Смотрим содержание файла pg_hba.conf.

$ sudo su - postgres -s /bin/bash
-bash-3.2$ psql
postgres=# SHOW hba_file;
hba_file
---------------------------------
/var/lib/pgsql/data/pg_hba.conf 
(1 строка) 

Из листинга показанного выше видно, что файл pg_hba.conf содержит одну строку.

Создадим запрос для демонстрации содержимого файла pg_hba.conf до редактирования.

Как видно из листинга в качестве метода аутентификации, для PostgreSQL Linux часть3, стоит trust.

Установка пароля для PostgreSQL Linux часть3.

Управление паролями и ролями в PqSQL осуществляется с помощью нескольких SQL команд. Выбор зависит от задач которые необходимы для работы.

• Список команд для управления ролями и паролями PqSQL:
  • CREATE ROLE
  • ALTER ROLE
  • password — входит в сборник утилиты pqsql.

Для нашей задачи выбираем команду password.

Дополнительные сведения про роли и пароли читайте в следующих частях.

$ sudo su - postgres -s /bin/bash
-bash-3.2$ psql 
postgres=# \password postgres
Введите новый пароль: 
Повторите его: 
postgres=# \q

Вносим изменения в столбец database, БД replication нас сейчас не интересует, все базы находятся на одном сервере, реплик нет

Перегружаем сервер для перечитывания новых значений.

$ sudo su - postgres -s /bin/bash
bash-3.2$ psql
postgres=# SELECT pg_reload_conf();
pg_reload_conf 
----------------
 t
(1 строка)
\q

Проверяем наши действия на ошибки.

$ sudo su - postgres -s /bin/bash
-bash-3.2$ psql
postgres=# SELECT line_number, error FROM pg_hba_file_rules;  line_number | error 
-------------+-------
           1 | 
           2 | 
(2 строки)

Смотрим какой метод аутентификации представлен теперь.

Проверяем с помощью параметра password_encryption, алгоритм хранения пароля.

-bash-3.2$ psql
postgres=# SHOW password_encryption;
password_encryption 
---------------------
 scram-sha-256
(1 строка)
\q

Таким образом мы установили метод аутентификации md5 с алгоритмом шифрования, scram-sha-256.

Заключение.

В приведённом выше примеры было показано, как установить пароль и метод аутентификации с шифрованием для привилегированного пользователя postgres. Для этого мы использовали самый распространённый метод аутентификации md5.

В дальнейшем, при широком использовании БД PostgreSQL, возникнет потребность доступа к базам данных других пользователей, использующих табличное пространство PqSQL в своей работе. Как создавать новых пользователей и управлять пользовательскими учётными записями, читайте в следующей части цикла статей о PostgreSQL.

Полезные ссылки.

• Сайт PostgreSQL
• Форум PostgreSQL
• Документация PostgreSQL

Введение.

Продолжая изучение PostgreSQL переходим к рассмотрению вопросов управления и контроля работы, PostgreSQL часть 2.

Все статьи посвящённые PostgreSQL см.

тэг БД или поиск postgres

Подготовка PostgreSQL.

• Стенд
• Cервер ALT Linux, имя: lin-pq; IP 10.0.2.11;
  • PostgreSQL X.X
• ПК Simply Linux, имя: lin-sl, IP=10.0.2.30
• Пользователь. имя: trt

Ввод команд PqSQL.

Прежде чем перейти к описанию дальнейших действий, PostgreSQL часть 2, выясним, как формируются команды и SQL запросы.

Для ввода команд и управление запросами в среде PostgreSQL существует три способа:

Консоль пользователя.

Находясь в сеансе консоли, пользователь должен иметь право для работы с БД. Под правами подразумевается присвоение роли, терминология PgSQL, для выполнение команд в БД.

Из консоли можно выполнить ограниченное число команд.

Оболочка BASH.

Из среды BASH управление осуществляет пользователь с именем postgres. Пользователь создаётся в процессе установки PgSQL, ему присваивается роль администратора всего кластера.

Это, пока, единственный пользователь, имеющий привилегированные права для управления PgSQL.

Как добавить пользователя в привилегированную группу, читайте в следующих частях.

Команда для входа в BASH.

$ sudo su - postgres -s /bin/bash

• sudo — выполнить команду от имени другого пользователя
• su — добавить права суперпользователя
• s — путь к оболочке
• /bin/bash — имя оболочки

Среда BASH позволяет выполнять основные команды управления сервером БД.

Интерактивный клиент psql.

Интерактивный клиент psql имеет расширенные и более гибкие возможности для работы с PqSQL, включая сложные SQL запросы.

Установленный сервер из коробки имеет метод авторизации trust. Это означает, что при подключению к серверу, находясь в консоли, пароль вводить не требуется.

Все доступные методы авторизации читайте в других частях.

Команда для входа в окружение psql выглядит так.

$ psql -Uuser -p[port]

• Ключи.
• -d имя базы данных
• -h имя сервера
• -p номер порта сервера, _{можно не указывать если стандартный}
• -U имя пользователя

Таким образом, основными средами управления PgSQL являются BASH и Psql.

Настройка клиента.

Локальное подключение к серверу для выполнения команд, о чём говорилось выше не достаточно. В дальнейшем нам потребуется подключать новых пользователей для выполнения SQL запросов.

Осуществить удалённое подключение к PgSQL с помощью клиента psql можно изменив параметр listen_addresses в настройках postgresql.conf сервера.

Указанный параметр использует протокол TCP/IP. По умолчанию в listen_addresses указанно значение localhost — только для локальных подключений к серверу через unix-domain socket. Это значение можно оставить без изменений при условии, что сервер PgSQL и приложения установленные на нём, например Zabbix, работают на одном сервере.

При этом подключение создавать дополнительных пользователей не требуется — управление, как правило, осуществляет администратор.

используя права пользователя postgres.

Теперь рассмотрим вариант, где требуется доступ пользователей к БД из сетей разных диапазонов организации.

Значение listen_addresses из коробки.

-bash-3.2$ psql
postgres=# SHOW listen_addresses;
 listen_addresses
------------------
 localhost
(1 строка)
\q

Меняем параметр listen_addresses с localhot на  *.  Переменная * позволяет разрешить подключение к серверу PgSQL из всех сетевых диапазонов организации по протоколу TCP/IP.

Корректировка listen_addresses .

Перегружаем сервер для перечитывания новых значений.

-bash-3.2$ pg_ctl restart

Контролируем фиксацию значение.

-bash-3.2$ psql 
postgres=# SHOW listen_addresses;
 listen_addresses 
------------------
 *
(1 row)
\q

При желание параметр  *  можно сузить до нужного диапазона сети.

Журнал PqSQL.

Сервер PqSQL позволяет вести журнал производительности и ошибок своей работы. При установке сервера, режим журналирования отключен. Пользователь, при желании, может включить контроль записи работы сервера с помощью журнала, отредактировав файл postgresql.conf. После наших действий в дереве каталога /var/lib/pgsq/data создаётся папка log, для хранения файлов журналов

Команда включающая режим журнала.

Перегружаем сервер для перечитывания новых значений.

-bash-3.2$ pg_ctl restart

Контролируем фиксацию значения.

-bash-3.2$ psql
postgres=# SHOW listen_addresses;
 listen_addresses 
------------------
 *
(1 строка)

Заключение.

В этой части конспекта рассмотрены базовые основы конфигурации и первичного управления сервером PgSQL. Понимание основ позволяет уверенно чувствовать себя при погружение в тему управления сервером баз данных PostgeSQL в дальнейшем.

Полезные сылки.

• Сайт
• Форум
• Документация

 Введение.

 В семейство управления базами данных входит PostgreSQL — рекомендованный для установки и эксплуатации Единым реестром Российских программ для ЭВМ и баз данных.

Этой публикацией, PostgreSQL часть 1, открывается цикл статей посвящённых теоретическим основам и практическим рекомендациям по вопросам установки, запуску и эксплуатации экземпляра сервера PostgreSQL в среде Linux.

Все статьи посвящённые PostgreSQL см.

тэг БД или поиск postgres

Подготовка PostgreSQL.

• Стенд: 
  • Cервер ALT Linux, имя: lin-pq; IP 10.0.2.11;
  • Simply Linux, имя: lin-sl, IP=10.0.2.30
  • Пользователь, имя: trt

Определение.

• В различных источниках можно встретить:
  • PostgreSQL
  • PL/pgSQL — процедурное расширение языка SQL
  • PgSQL

Архитектура и терминология.

• PostgreSQL выполняет архитектуру клиент-сервер, включающий:
  • главный серверный процесс-имя postgres
  • клиентские запросы — графика, текст, вэб страница …

Главный процесс , postgres, порождает множество подпроцессов, для каждого подключаемого клиента, обеспечивая этим многопоточность.

Сервер PostgreSQL, согласно терминологии, является — экземпляром сервера.

Данные сервера хранятся в базах, один экземпляр PostgreSQL может работать с несколькими базами определяемые, как кластер БД.

Развёртывание PostgreSQL.

Для установки пакетов используйте графический менеджер — synaptic.

# apt-get update
# apt-get install synaptic
# synaptic

• Для установки PqSQL необходимо:
  • проверить службу времени NTP.
  • проверить кодировку

locale -a|grep ru_RU
ru_RU
ru_RU.cp1251
ru_RU.ibm866
ru_RU.iso88595
ru_RU.koi8r
ru_RU.utf8

• выбрать необходимую версию сервера PqSQL

• установить выбранный пакет сервера

# apt-get install postgresqlXX-server

XX — версия выбранного сервера PqSQL

• После установки создаются каталоги:
  • /var/lib/pgsql — папки кластера БД
  • /usr/share/pgsql — пакеты PostgreSQL

Формирование кластера PostgreSQL часть1.

Кластер — область хранения баз данных на диске

При установке сервера PqSQL создаётся пользователь postgres.

$ id postgres
uid=46(postgres) gid=46(postgres) группы=46(postgres)

Пользователь postgres осуществляет начальное управление сервером, обладая ролью суперпользователя. По умолчанию пароль для postgres не установлен — метод аутентификации из «коробки» trust.

Используя роль postgres, создадим кластер сервера. Для выполнения необходимо, что бы учётная запись осуществляющая действия с пользователем postgres была членом группы whell.

Открываем доступ группе wheel, для выполнения команд sudo.

# visudo … WHEEL_USERS ALL=(ALL) ALL … :wq

Проверяем каким группам принадлежит пользователь trt.

$ id -Gn trt
trt wheel uucp proc cdrom floppy cdwriter audio radio users vboxusers scanner xgrp camera

Используя роль postgres создадим кластер сервера PqSQL.

• _{sudo su — выполнить команду от имени пользователя входящего в группу администраторов}
• _{s — запуск команд в оболочке BASH}

-bash-x.x— текущая версия bash

Команды для запуска PqSQL часть1.

• Запуск PqSQL включают два варианта:
  • консольной командой

# systemctl start|status|stop|restart|  postgresql

• утилитой pg_ctl из инструментария PqSQL

$ sudo su - postgres -s /bin/bash
-bash-x.x$ pg_ctl start | stop | restart| reload| status

Вид1. Листинг запуска сервера командой pg_ctl start

При запуске postgresql, может возникнуть сообщение, Вид2, это нормально.

стартовый PID автозагрузки запустил кластер

все команды pg_ctl, кроме start доступны

Вид2. Листинг сообщения о ошибке при старте PqSQL.

Управление автозагрузкой PqSQL.

# systemctl enable postgresql
# systemctl is-enabled postgresql
enabled

• Продолжение смотри:
• «Как установить PostgreSQL Linux часть2«
• «Как установить PostgreSQL Linux часть3«
• «Как установить PostgreSQL Linux часть4«

Проверка работы сервера.

Убедится в том, что наш сервер запущен и готов к работе, можно консольной командой, которая выводит время и текущею дату.

$ psql -U postgres -c 'select now()'
Пароль пользователя postgres: 
              now              
-------------------------------
 2023-03-21 13:05:28.538569+03
(1 строка)

Пользователь postgres имеет, из коробки, аутентификацию trust — без пароля

Подробности управления правами и ролями доступа к PgSQL, читайте в 3 части.

 Заключение.

 Сервер PqSQL зарекомендовал себя, как надёжный, устойчивый при длительной эксплуатации СУБД. Встроенные возможности PqSQL, позволяют конкурировать с Microsoft SQL и Oracle. Конечно, те кто вложился деньгами и знаниями в изучение и эксплуатацию MS SQL и Oracle, желания переходить или мигрировать на PqSQL не испытывают. Слишком высоки риски, да и годами устоявшиеся система управления вполне устраивает. Но жизнь и время требует новых подходов и решений. Создать с нуля БД и запустить в эксплуатацию это одно, а подготовить и выполнить план по миграции другое. Здесь требуется проведение предварительных действий. Начинать надо с обучения и развёртывания стенда, что бы на практике получать навыки и опыт работы с PostgreSQL.

Если для организации стоит вопрос перехода на PostgreSQL, то прежде всего, надо решить вопрос оборудования и коннектора для миграции. По оборудованию можно обратиться к официальной документации. Миграционный коннектор, под конкретную прикладную программу надо искать, их достаточно, платных и бесплатных, условие одно — тестирование на стенде предприятия. Есть ещё одно решение по миграции, заказать услугу по переходу на PostgreSQL и его сопровождение. Но это прежде всего финансовый вопрос, придут специалисты проведут миграцию, а может и нет в любом случае это время, оборудование и деньги.

В качестве «живого» примера установки и работы PqSQL,читайте статью.

Полезные ссылки.

• Сайт PostgreSQL
• Форум PostgreSQL
• Документация PostgreSQL

Введение.

 Тема блога, установка, настройка и подключение сервера баз данных MySQL к операционной системе Linux.

MySQL — свободная реляционная система управления базами данных. Поддержку осуществляет корпорация Oracle, Продукт распространяется под двойной лицензией, GNU и коммерческой лицензией.

• Гибкость СУБД обеспечивается таблицами:
  • MyISAM — поддерживает полнотекстовый поиск
  • InnoDB — поддерживает транзакции на уровне отдельных записей

Сообществом разработчиков созданы различные ответвления кода, такие например как MariaDB.

Подготовка к развёртыванию сервера.

Установить необходимые пакеты.

# apt-get update
# apt-get install MySQL-server

Запуск и автозагрузка сервера.

# systemctl start mysqld
# systemctl enable mysqld
# systemctl is-enabled mysqld
enabled

Устанавливаем пароль администратора сервера, по умолчанию пароль нажатие enter.

# mysql -uroot -p
# Enter password: enter
//меняем пароль
# mysqladmin -u root password
# New password:secret
# Confirm new password:secret

Обновляем или перестраиваем индексы если это требуется по условию установки или при повышение версии.

Проверяем поддержку механизма хранения сервера для innodb.

Установка MySQL 8.

 Версия MySQL8.X требует предварительных настроек уровня безопасности, иначе может появится предупреждение «ошибка подключения к базе данных», при установке некоторых программ. Подробно о политике паролей для MySQL8.X см. здесь. После установки и настройке сервера MySQL8.X, необходимо, переключить режим безопасности сервера MySQL8.X на mysql_native_password plugin выполнив для этого:

Каталоги MySQL.

Основные папки обеспечивающие работу сервера расположены в дереве каталогов устройства на установлена БД.

• /etc/my.cnf.d — файлы конфигурации
• /var/lib/mysql — кластер таблиц и баз

Обслуживание сервера.

 Приводятся команды которые встречаются наиболее часто при обслуживание сервера.

Подключение к серверу и работа с базой.

Параметр host — сервер где работает SQL, если вход с консоли параметр host можно не указывать.

Заключение.

 Широкое применение сервера баз данных MySQL обуславленно его стабильной работой, мощной документацией и поддержкой сообщества. Используя в качестве приложения этот вид БД, необходимо соблюдать некоторые правила, выполнение которых избавит администратора от ошибок потери важной информации. Главное правило — резервное копирование, отведите на изучение и тестирования этого важного механизма необходимое время. Проверяйте, периодически, создаваемые резервные копии, храните их на разных устройствах. Организуйте автоматизацию процесса создания и удаления старых копий. Выучите основные команды управления и обслуживании сервера. Продумайте систему безопасности прав доступа к БД.

• Сайт MySQL
• Сайт MySQL ru