设置文件权限安全策略
背景信息
数据库在安装过程中,会自动对其文件权限(包括运行过程中生成的文件,如日志文件
等)进行设置。其权限规则如下:
数据库程序目录的权限为0750。
数据库数据文件目录的权限为0700。
数据库部署时通过创建xml 配置文件中的tmpMppdbPath 参数指定目录(若未指定,则
默认创建/tmp/$USER_mppdb 目录)来存放“.s.PGSQL.*”文件,该目录
和文件权限
设置为0700。
数据库的数据文件、审计日志和其他数据库程序生成的数据文件的权限为0600,运行
日志的权限默认不高于0640。
普通操作系统用户不允许修改和删除数据库文件和日志文件。
数据库程序目录及文件权限
数据库安装后,部分程序目录及文件权限如表7-18 所示。
表7-18 文件及目录权限
文件/目录
父目录
权限
bin
-
0700
lib
-
0700
share
-
0700
data
(数据库节点/数据库主节
点)
-
0700
base
实例数据目录
0700
global
实例数据目录
0700
pg_audit
实例数据目录(可配置)
0700
GBase 8c V5 开发者手册
南大通用数据技术股份有限公司
198
pg_log
实例数据目录(可配置)
0700
pg_xlog
实例数据目录
0700
postgresql.conf
实例数据目录
0600
pg_hba.conf
实例数据目录
0600
postmaster.opts
实例数据目录
0600
pg_ident.conf
实例数据目录
0600
gs_initdb
bin
0700
gs_dump
bin
0700
gs_ctl
bin
0700
gs_guc
bin
0700
gsql
bin
0700
archive_status
pg_xlog
0700
libpq.so.5.5
lib
0600
建议
数据库在安装过程中,会自动对其文件权限(包括运行过程中生成的文件,如日志文件
等)进行设置,适合大多数情况下的权限要求。如果用户产品对相关权限有特殊要求,建议
用户安装后定期检查相关权限设置,确保完全符合产品要求。