স্কিমায় গ্রান্ট ইউজেজ হুবহু কী করে?

আমি প্রথমবারের মতো পোস্টগ্রিস ডাটাবেস তৈরি করার চেষ্টা করছি, সুতরাং এটি সম্ভবত একটি বোকা প্রশ্ন। আমি ডিবি ভূমিকার জন্য কেবল পঠনযোগ্য প্রাথমিক অনুমতিগুলি অর্পণ করেছি যা অবশ্যই আমার পিএইচপি স্ক্রিপ্ট থেকে ডাটাবেস অ্যাক্সেস করতে হবে এবং আমার কৌতূহল আছে: যদি আমি সম্পাদন করি

GRANT some_or_all_privileges ON ALL TABLES IN SCHEMA schema TO role;

মৃত্যুদন্ড কার্যকর করার কোন দরকার আছে কি?

GRANT USAGE ON SCHEMA schema TO role;

?

ডকুমেন্টেশন থেকে :

ব্যবহার: স্কিমার জন্য, নির্দিষ্ট স্কিমাতে থাকা অবজেক্টগুলিতে অ্যাক্সেসের অনুমতি দেয় (ধরে নিলেন যে বস্তুর নিজস্ব সুবিধার প্রয়োজনীয়তাও মেটানো হয়েছে)। মূলত এটি গ্রান্টিকে স্কিমার মধ্যে অবজেক্টগুলিকে "সন্ধান" করতে দেয়।

আমি মনে করি যে আমি যদি স্কিমাতে থাকা কোনও ডেটা নির্বাচন বা পরিচালনা করতে পারি তবে আমি নিজেই স্কিমার কোনও অবজেক্টে অ্যাক্সেস করতে পারি। আমি কি ভূল? যদি না হয় তবে কিসের GRANT USAGE ON SCHEMAজন্য ব্যবহার করা হয়? এবং ডকুমেন্টেশনটির অর্থ "বস্তুর নিজস্ব সুবিধার্থের প্রয়োজনীয়তাগুলিও পূরণ করা হয়েছে" ধরে নিয়ে ঠিক কী বোঝায়?

GRANTগুলি বিভিন্ন বস্তুর উপর পৃথক। GRANTএকটি ডাটাবেসের GRANTমধ্যে লিঙ্ক স্কিমার অধিকার নেই । অনিচ্ছাকৃতভাবে, GRANTএকটি স্কিমাতে অন্তর্ভুক্ত থাকা টেবিলগুলিতে অধিকার মঞ্জুরি দেয় না।

যদি SELECTকোনও টেবিল থেকে আপনার অধিকার থাকে তবে এটিতে থাকা স্কিমাটিতে এটি দেখার অধিকার নেই তবে আপনি টেবিলটি অ্যাক্সেস করতে পারবেন না।

অধিকার পরীক্ষা যথাযথভাবে করা হয়:

Do you have `USAGE` on the schema? 
    No:  Reject access. 
    Yes: Do you also have the appropriate rights on the table? 
        No:  Reject access. 
        Yes: Check column privileges.

আপনার বিভ্রান্তি এ থেকে উদ্ভূত হতে পারে যে publicস্কিমার GRANTভূমিকার সমস্ত অধিকারের একটি ডিফল্ট রয়েছে public, যা প্রতিটি ব্যবহারকারী / গোষ্ঠীর সদস্য। সুতরাং প্রত্যেকের ইতিমধ্যে সেই স্কিমে ব্যবহার রয়েছে।

বাক্য:

(ধরে নিলাম যে বস্তুর নিজস্ব বিশেষাধিকারের প্রয়োজনীয়তাও মেটানো হয়েছে)

বলছে যে USAGEএটির মধ্যে থাকা অবজেক্টগুলি ব্যবহার করার জন্য আপনার অবশ্যই একটি স্কিমা থাকা উচিত , তবে USAGEস্কিমা থাকা নিজেরাই স্কিমার মধ্যে থাকা অবজেক্টগুলি ব্যবহার করার পক্ষে পর্যাপ্ত নয়, আপনার নিজেরও বস্তুগুলির অধিকার থাকতে হবে।

এটি ডিরেক্টরি গাছের মতো। যদি আপনি এর মধ্যে somedirফাইল সহ একটি ডিরেক্টরি তৈরি করেন somefileতবে এটি সেট করে রাখুন যাতে আপনার নিজের ব্যবহারকারী কেবল ডিরেক্টরি বা ফাইল অ্যাক্সেস করতে পারেন (ফাইলের rwx------মোড়ে মোড়, মোড rw-------) তারপরে অন্য কেউ ডিরেক্টরিটি তালিকাভুক্ত করতে পারবেন না যে ফাইলটি উপস্থিত রয়েছে তা দেখতে।

আপনি যদি ফাইল (মোড rw-r--r--) এ বিশ্ব-পঠিত অধিকারগুলি প্রদান করতে পারেন তবে ডিরেক্টরি অনুমতিগুলি পরিবর্তন না করে এটি কোনও পার্থক্য করে না। ফাইলটি পড়ার জন্য কেউই ফাইলটি দেখতে পেল না, কারণ তাদের ডিরেক্টরিতে তালিকার অধিকার নেই।

আপনি যদি পরিবর্তে rwx-r-xr-xডিরেক্টরিতে সেট করেন, এটি সেট করে যাতে লোকেরা ডিরেক্টরিটি তালিকাভুক্ত করতে পারে এবং ফাইলের অনুমতি পরিবর্তন না করে, লোকেরা ফাইলটি তালিকাভুক্ত করতে পারে তবে এটি পড়তে পারে না কারণ তাদের ফাইলে অ্যাক্সেস নেই।

লোকেরা ফাইলটি দেখতে সক্ষম হতে আপনাকে উভয় অনুমতি সেট করতে হবে।

পিজিতে একই জিনিস। কোনও টেবিলের USAGEমতো কোনও বস্তুর উপর ক্রিয়া সম্পাদনের জন্য আপনার উভয় স্কিমা অধিকার এবং অবজেক্টের অধিকারের প্রয়োজন SELECT।

(সাদৃশ্যটি কিছুটা নিচে নেমে গেছে যে পোস্টগ্রেএসকিউএলটিতে এখনও সারি-স্তরের সুরক্ষা নেই, সুতরাং ব্যবহারকারীটি এখনও "দেখতে" দেখতে পারেন যে টেবিলটি স্কিমায় সরাসরি উপস্থিত SELECTথেকে স্কিনে রয়েছে pg_classThey তারা কোনওভাবেই এটির সাথে যোগাযোগ করতে পারে না can't যদিও, তাই এটি কেবল "তালিকার" অংশ যা সম্পূর্ণ এক নয় that)

একটি উত্পাদন সিস্টেমের জন্য, আপনি এই কনফিগারেশনটি ব্যবহার করতে পারেন:

--ACCESS DB
REVOKE CONNECT ON DATABASE nova FROM PUBLIC;
GRANT  CONNECT ON DATABASE nova  TO user;

--ACCESS SCHEMA
REVOKE ALL     ON SCHEMA public FROM PUBLIC;
GRANT  USAGE   ON SCHEMA public  TO user;

--ACCESS TABLES
REVOKE ALL ON ALL TABLES IN SCHEMA public FROM PUBLIC ;
GRANT SELECT                         ON ALL TABLES IN SCHEMA public TO read_only ;
GRANT SELECT, INSERT, UPDATE, DELETE ON ALL TABLES IN SCHEMA public TO read_write ;
GRANT ALL                            ON ALL TABLES IN SCHEMA public TO admin ;

ভাল, লিনাক্সের জন্য এটি একটি সাধারণ ডিবির জন্য আমার চূড়ান্ত সমাধান:

# Read this before!
#
# * roles in postgres are users, and can be used also as group of users
# * $ROLE_LOCAL will be the user that access the db for maintenance and
#   administration. $ROLE_REMOTE will be the user that access the db from the webapp
# * you have to change '$ROLE_LOCAL', '$ROLE_REMOTE' and '$DB'
#   strings with your desired names
# * it's preferable that $ROLE_LOCAL == $DB

#-------------------------------------------------------------------------------

//----------- SKIP THIS PART UNTIL POSTGRES JDBC ADDS SCRAM - START ----------//

cd /etc/postgresql/$VERSION/main
sudo cp pg_hba.conf pg_hba.conf_bak
sudo -e pg_hba.conf

# change all `md5` with `scram-sha-256`
# save and exit

//------------ SKIP THIS PART UNTIL POSTGRES JDBC ADDS SCRAM - END -----------//

sudo -u postgres psql

# in psql:
create role $ROLE_LOCAL login createdb;
\password $ROLE_LOCAL
create role $ROLE_REMOTE login;
\password $ROLE_REMOTE

create database $DB owner $ROLE_LOCAL encoding "utf8";
\connect $DB $ROLE_LOCAL

# Create all tables and objects, and after that:

\connect $DB postgres

revoke connect on database $DB from public;
revoke all on schema public from public;
revoke all on all tables in schema public from public;

grant connect on database $DB to $ROLE_LOCAL;
grant all on schema public to $ROLE_LOCAL;
grant all on all tables in schema public to $ROLE_LOCAL;
grant all on all sequences in schema public to $ROLE_LOCAL;
grant all on all functions in schema public to $ROLE_LOCAL;

grant connect on database $DB to $ROLE_REMOTE;
grant usage on schema public to $ROLE_REMOTE;
grant select, insert, update, delete on all tables in schema public to $ROLE_REMOTE;
grant usage, select on all sequences in schema public to $ROLE_REMOTE;
grant execute on all functions in schema public to $ROLE_REMOTE;

alter default privileges for role $ROLE_LOCAL in schema public
    grant all on tables to $ROLE_LOCAL;

alter default privileges for role $ROLE_LOCAL in schema public
    grant all on sequences to $ROLE_LOCAL;

alter default privileges for role $ROLE_LOCAL in schema public
    grant all on functions to $ROLE_LOCAL;

alter default privileges for role $ROLE_REMOTE in schema public
    grant select, insert, update, delete on tables to $ROLE_REMOTE;

alter default privileges for role $ROLE_REMOTE in schema public
    grant usage, select on sequences to $ROLE_REMOTE;

alter default privileges for role $ROLE_REMOTE in schema public
    grant execute on functions to $ROLE_REMOTE;

# CTRL+D