設定檔案許可權安全策略
背景資訊
資料庫在安裝過程中,會自動對其檔案許可權(包括執行過程中生成的檔案,如日誌檔案等)進行設定。其許可權規則如下:
-
資料庫程式目錄的許可權為0750。
-
資料庫資料檔案目錄的許可權為0700。
資料庫部署時透過建立xml配置檔案中的tmpMppdbPath引數指定目錄(若未指定,則預設建立/tmp/$USER_mppdb目錄)來存放“.s.PGSQL.*”檔案,該目錄和檔案許可權設定為0700。
-
資料庫的資料檔案、審計日誌和其他資料庫程式生成的資料檔案的許可權為0600,執行日誌的許可權預設不高於0640。
-
普通作業系統使用者不允許修改和刪除資料庫檔案和日誌檔案。
資料庫程式目錄及檔案許可權
資料庫安裝後,部分程式目錄及檔案許可權如表1所示。
表 1 檔案及目錄許可權
檔案/目錄
|
父目錄
|
許可權
|
|---|
bin
|
-
|
0700
|
lib
|
-
|
0700
|
share
|
-
|
0700
|
data(資料庫節點/資料庫主節點)
|
-
|
0700
|
base
|
例項資料目錄
|
0700
|
global
|
例項資料目錄
|
0700
|
pg_audit
|
例項資料目錄(可配置)
|
0700
|
pg_log
|
例項資料目錄(可配置)
|
0700
|
pg_xlog
|
例項資料目錄
|
0700
|
postgresql.conf
|
例項資料目錄
|
0600
|
pg_hba.conf
|
例項資料目錄
|
0600
|
postmaster.opts
|
例項資料目錄
|
0600
|
pg_ident.conf
|
例項資料目錄
|
0600
|
gs_initdb
|
bin
|
0700
|
gs_dump
|
bin
|
0700
|
gs_ctl
|
bin
|
0700
|
gs_guc
|
bin
|
0700
|
gsql
|
bin
|
0700
|
archive_status
|
pg_xlog
|
0700
|
libpq.so.5.5
|
lib
|
0600
|
建議
資料庫在安裝過程中,會自動對其檔案許可權(包括執行過程中生成的檔案,如日誌檔案等)進行設定,適合大多數情況下的許可權要求。如果使用者產品對相關許可權有特殊要求,建議使用者安裝後定期檢查相關許可權設定,確保完全符合產品要求。
詳情檢視:https://opengauss.org
詳情檢視:https://docs-opengauss.osinfra.cn