我需要限制 pgsql 中的用户执行复制语句。我可以禁止执行任何 CRUD 操作。
1 回答
1
COPY命令可以从表中读取到某处,也可以从某处(从文件、另一个表或从查询中)写入表。
我假设您想限制对任何表的写入。
在这种情况下,只需限制该用户的 UPDATE/INSERT/DELETE 操作:
revoke insert, delete, update on all tables in schema public from xxx;
仔细检查您的用户是否不是超级用户(在这种情况下,所有权限检查都将被忽略;如果是,则只需alter role xxx nosuperuser;)。
还值得为所有新表定义默认策略,撤销该角色的写入权限:
alter default privileges in schema public
revoke insert,update,delete on tables from xxx;
如果您想限制使用 COPY 从任何表(如copy (select * from table1) to stdout;)读取,您还需要撤销所有对象的读取权限(即 SELECT 权限)。
请注意,COPY 有一个变体仍然可以工作——如果它从“nowhere”读取,即:
copy (select 'blabla') to stdout;
或者
copy (values('blabla')) to stdout;
或者,更极端的版本,阅读“无”:
copy (select) to stdout;
于 2018-03-08T11:33:45.983 回答