openGauss学习笔记-119 openGauss 数据库管理-设置数据库审计-设置文件权限安全策略119.1 背景信息119.2 数据库程序目录及文件权限119.3 建议
openGauss学习笔记-119 openGauss 数据库管理-设置数据库审计-设置文件权限安全策略
119.1 背景信息
数据库在安装过程中,会自动对其文件权限(包括运行过程中生成的文件,如日志文件等)进行设置。其权限规则如下:
-
数据库程序目录的权限为0750。
-
数据库数据文件目录的权限为0700。
openGauss部署时通过创建xml配置文件中的tmpMppdbPath参数指定目录(若未指定,则默认创建/tmp/$USER_mppdb目录)来存放“.s.PGSQL.*”文件,该目录和文件权限设置为0700。
-
数据库的数据文件、审计日志和其他数据库程序生成的数据文件的权限为0600,运行日志的权限默认不高于0640。
-
普通操作系统用户不允许修改和删除数据库文件和日志文件。
119.2 数据库程序目录及文件权限
数据库安装后,部分程序目录及文件权限如表1所示。
表 1 文件及目录权限
| 文件/目录 | 父目录 | 权限 |
|---|---|---|
| bin | - | 0700 |
| lib | - | 0700 |
| share | - | 0700 |
| data(数据库节点/数据库主节点) | - | 0700 |
| base | 实例数据目录 | 0700 |
| global | 实例数据目录 | 0700 |
| pg_audit | 实例数据目录(可配置) | 0700 |
| pg_log | 实例数据目录(可配置) | 0700 |
| pg_xlog | 实例数据目录 | 0700 |
| postgresql.conf | 实例数据目录 | 0600 |
| pg_hba.conf | 实例数据目录 | 0600 |
| postmaster.opts | 实例数据目录 | 0600 |
| pg_ident.conf | 实例数据目录 | 0600 |
| gs_initdb | bin | 0700 |
| gs_dump | bin | 0700 |
| gs_ctl | bin | 0700 |
| gs_guc | bin | 0700 |
| gsql | bin | 0700 |
| archive_status | pg_xlog | 0700 |
| libpq.so.5.5 | lib | 0600 |
119.3 建议
数据库在安装过程中,会自动对其文件权限(包括运行过程中生成的文件,如日志文件等)进行设置,适合大多数情况下的权限要求。如果用户产品对相关权限有特殊要求,建议用户安装后定期检查相关权限设置,确保完全符合产品要求。
👍 点赞,你的认可是我创作的动力!
⭐️ 收藏,你的青睐是我努力的方向!
✏️ 评论,你的意见是我进步的财富!
