设置文件权限安全策略
背景信息
数据库在安装过程中,会自动对其文件权限(包括运行过程中生成的文件,如日志文件等)进行设置。其权限规则如下:
数据库程序目录的权限为0750。
数据库数据文件目录的权限为0700。
数据库的数据文件、审计日志和其他数据库程序生成的数据文件的权限为0600,运行日志的权限默认不高于0640。
普通操作系统用户不允许修改和删除数据库文件和日志文件。
数据库程序目录及文件权限
数据库安装后,部分程序目录及文件权限如表5-20所示。
表5-20 文件及目录权限
| 文件/目录 | 父目录 | 权限 |
|---|---|---|
| bin | - | 0700 |
| lib | - | 0700 |
| share | - | 0700 |
| data(数据库节点/数据库主节点) | - | 0700 |
| base | 实例数据目录 | 0700 |
| global | 实例数据目录 | 0700 |
| pg_audit | 实例数据目录(可配置) | 0700 |
| pg_log | 实例数据目录(可配置) | 0700 |
| pg_xlog | 实例数据目录 | 0700 |
| postgresql.conf | 实例数据目录 | 0600 |
| pg_hba.conf | 实例数据目录 | 0600 |
| postmaster.opts | 实例数据目录 | 0600 |
| pg_ident.conf | 实例数据目录 | 0600 |
| vb_initdb | bin | 0700 |
| vb_dump | bin | 0700 |
| vb_ctl | bin | 0700 |
| vb_guc | bin | 0700 |
| vsql | bin | 0700 |
| archive_status | pg_xlog | 0700 |
| libpq.so.5.5 | lib | 0600 |
建议
数据库在安装过程中,会自动对其文件权限(包括运行过程中生成的文件,如日志文件等)进行设置,适合大多数情况下的权限要求。如果用户产品对相关权限有特殊要求,建议用户安装后定期检查相关权限设置,确保完全符合产品要求。
