设置文件权限安全策略

背景信息

数据库在安装过程中,会自动对其文件权限(包括运行过程中生成的文件,如日志文件等)进行设置。其权限规则如下:

  • 数据库程序目录的权限为0750。
  • 数据库数据文件目录的权限为0700。

    openGauss部署时通过创建xml配置文件中的tmpMppdbPath参数指定目录(若未指定,则默认创建/tmp/$USER_mppdb目录)来存放“.s.PGSQL.*”文件,该目录和文件权限设置为0700。

  • 数据库的数据文件、审计日志和其他数据库程序生成的数据文件的权限为0600,运行日志的权限默认不高于0640。

  • 普通操作系统用户不允许修改和删除数据库文件和日志文件。

数据库程序目录及文件权限

数据库安装后,部分程序目录及文件权限如表1所示。

表 1 文件及目录权限

文件/目录

父目录

权限

bin

-

0700

lib

-

0700

share

-

0700

data(数据库节点/数据库主节点

-

0700

base

实例数据目录

0700

global

实例数据目录

0700

pg_audit

实例数据目录(可配置)

0700

pg_log

实例数据目录(可配置)

0700

pg_xlog

实例数据目录

0700

postgresql.conf

实例数据目录

0600

pg_hba.conf

实例数据目录

0600

postmaster.opts

实例数据目录

0600

pg_ident.conf

实例数据目录

0600

gs_initdb

bin

0700

gs_dump

bin

0700

gs_ctl

bin

0700

gs_guc

bin

0700

gsql

bin

0700

archive_status

pg_xlog

0700

libpq.so.5.5

lib

0600

建议

数据库在安装过程中,会自动对其文件权限(包括运行过程中生成的文件,如日志文件等)进行设置,适合大多数情况下的权限要求。如果用户产品对相关权限有特殊要求,建议用户安装后定期检查相关权限设置,确保完全符合产品要求。