現在、Postgresでは、システムにアクセスする人(データベースでなくても)がファイルを修正してエントリを取得できるため、データベースが依存する.confファイルが最大のセキュリティホールです。このため、これらの.confファイルを暗号化し、データベースの各セッション中に復号化する方法に関するリソースを探しています。パフォーマンスは現時点では問題にはなりません。誰もがこれに関するリソースを持っているか、誰かがこの機能を利用するプロトタイプを開発していますか?Postgres設定ファイルの暗号化
ここで、それは私が求めていますが何であるかについていくつかの混乱があるようですので
編集。シナリオは最高の次のグループを持つWindowsボックス上で示すことができる。
1)System Administrators
2を管理者に)データベース管理者Postgres Administrators
3)監査役Security Auditors
監査グループは、通常のファイルと設定ファイルをログに記録するアクセスする必要がありますシステムのセキュリティを確保します。しかし、この問題は、Auditors
グループのメンバーがPostgresの設定とログファイルを表示する必要がある場合に発生します。このメンバーがdo not
にデータベースアカウントを持っていてもデータベースにアクセスしたいと判断した場合は、break in
という非常に短いタスクです。これを防ぐ方法は?次のような回答:Get better auditors
は、人々が何をするのかを決して完全に予測することができないので、かなり貧弱です。
いいえ、dbが適切に保護されていれば、アクセスするためにパスワードを必要とするため、設定ファイルの何も使用できません。接続を信頼するように設定されている場合、何もできませんネットワーク上の誰もがトラフィックを盗聴でき、あなたが信頼モードで接続していて、IPをエミュレートする/スプーフィングしていることを知ることができます。 あなたのconfファイルを読むと、人が壊れてしまうことがあります。 監査人がconfファイルへの書き込みアクセス権を必要とする場合は、dbas/sys管理者になりますので、そのように扱う必要があります。 –