Thứ Bảy, 31 tháng 5, 2025

11.Triển khai Audit và Bảo mật Database PostgreSQL

✅ 1. Tổng quan về Bảo mật trong PostgreSQL

PostgreSQL cung cấp bảo mật theo 4 lớp chính:

LớpMục đích
1. Xác thực kết nốiDùng pg_hba.conf để kiểm soát IP, user, phương thức
2. Phân quyền Role/UserDùng GRANT/REVOKEROLE
3. Bảo mật nâng caoSSL, RLS, mã hóa, schema isolation
4. AuditGhi log truy cập, truy vấn, thao tác hệ thống

🔍 2. Kiểm soát truy cập với pg_hba.conf

# Cho phép user 'app_user' kết nối từ IP nội bộ
host    all     app_user     192.168.1.0/24     md5

# Cấm toàn bộ truy cập từ internet
host    all     all          0.0.0.0/0          reject

Ưu tiên dòng trên trước: PostgreSQL duyệt từ trên xuống

🛡️ 3. Phân quyền an toàn

Nguyên tắc phân quyền:

  • Không cho ứng dụng dùng postgres user

  • Không cấp SUPERUSER trừ khi cần thiết

  • Tạo user có quyền tối thiểu:

CREATE ROLE app_user WITH LOGIN PASSWORD 'S@fePass!';
GRANT CONNECT ON DATABASE appdb TO app_user;
GRANT USAGE ON SCHEMA public TO app_user;
GRANT SELECT, INSERT, UPDATE ON ALL TABLES IN SCHEMA public TO app_user;

🔐 4. SSL - Mã hóa kết nối

Trong postgresql.conf:

ssl = on
ssl_cert_file = 'server.crt'
ssl_key_file = 'server.key'

Sau đó sử dụng psql "sslmode=require"

📘 5. Triển khai Audit với pgaudit

📌 Bước 1 – Cài extension:

CREATE EXTENSION pgaudit;

📌 Bước 2 – Bật audit trong cấu hình:

shared_preload_libraries = 'pgaudit'
pgaudit.log = 'read, write, ddl'
pgaudit.log_catalog = on

Sau đó restart PostgreSQL

📌 Bước 3 – Kiểm tra log:

tail -f /var/lib/pgsql/13/data/log/*.log

Mỗi thao tác sẽ được log như:

AUDIT: SESSION,1,1,READ,SELECT,...,user=app_user

🧠 6. Audit đơn giản không dùng extension

Trong postgresql.conf:

log_statement = 'ddl'          # hoặc 'mod', 'all'
log_duration = on
log_connections = on
log_disconnections = on

Không chi tiết như pgaudit, nhưng đủ dùng cho audit nhẹ

🧩 7. Row-Level Security (RLS)

Cho phép user chỉ xem dòng họ được phép

-- Bật RLS trên bảng
ALTER TABLE salary ENABLE ROW LEVEL SECURITY;

-- Tạo policy cho user chỉ xem dòng của chính họ
CREATE POLICY emp_policy ON salary
USING (employee_id = current_setting('app.user_id')::int);

Bạn cần SET app.user_id = '123'; trước khi query

🧪 8. Kiểm tra quyền & theo dõi truy cập

Xem quyền người dùng:

SELECT grantee, table_schema, table_name, privilege_type
FROM information_schema.role_table_grants
WHERE grantee = 'app_user';

Theo dõi truy cập session:

SELECT client_addr, usename, datname, backend_start, state
FROM pg_stat_activity;

🔐 9. Các chiến lược bảo mật quan trọng

Thực hiệnMục tiêu
Sử dụng user riêng cho ứng dụngTách biệt trách nhiệm
Bắt buộc kết nối qua SSLNgăn nghe lén
Bật audit cho các bảng nhạy cảmGhi lại SELECT/UPDATE/DELETE
Dùng RLS cho dữ liệu phân quyềnKiểm soát truy cập từng dòng
Không để mật khẩu hardcodeDùng .pgpass, vault hoặc biến môi trường

✅ Kết luận

  • PostgreSQL cho phép triển khai bảo mật ở nhiều lớp:

    • Kết nối → Role → Object → Hành vi

  • Với hệ thống lớn, nên dùng:

    • pgaudit cho log chi tiết

    • SSL cho an toàn truyền tải

    • RLS cho bảo vệ theo dữ liệu

  • Luôn tối giản quyền + giám sát log

=============================
Website không chứa bất kỳ quảng cáo nào, mọi đóng góp để duy trì phát triển cho website (donation) xin vui lòng gửi về STK 90.2142.8888 - Ngân hàng Vietcombank Thăng Long - TRAN VAN BINH
=============================
Nếu bạn không muốn bị AI thay thế và tiết kiệm 3-5 NĂM trên con đường trở thành DBA chuyên nghiệp hay làm chủ Database thì hãy đăng ký ngay KHOÁ HỌC ORACLE DATABASE A-Z ENTERPRISE, được Coaching trực tiếp từ tôi với toàn bộ bí kíp thực chiến, thủ tục, quy trình của gần 20 năm kinh nghiệm (mà bạn sẽ KHÔNG THỂ tìm kiếm trên Internet/Google) từ đó giúp bạn dễ dàng quản trị mọi hệ thống Core tại Việt Nam và trên thế giới, đỗ OCP.
- CÁCH ĐĂNG KÝ: Gõ (.) hoặc để lại số điện thoại hoặc inbox https://m.me/tranvanbinh.vn hoặc Hotline/Zalo 090.29.12.888
- Chi tiết tham khảo:
https://bit.ly/oaz_w
=============================
2 khóa học online qua video giúp bạn nhanh chóng có những kiến thức nền tảng về Linux, Oracle, học mọi nơi, chỉ cần có Internet/4G:
- Oracle cơ bản: https://bit.ly/admin_1200
- Linux: https://bit.ly/linux_1200
=============================
KẾT NỐI VỚI CHUYÊN GIA TRẦN VĂN BÌNH:
📧 Mail: binhoracle@gmail.com
☎️ Mobile/Zalo: 0902912888
👨 Facebook: https://www.facebook.com/BinhOracleMaster
👨 Inbox Messenger: https://m.me/101036604657441 (profile)
👨 Fanpage: https://www.facebook.com/tranvanbinh.vn
👨 Inbox Fanpage: https://m.me/tranvanbinh.vn
👨👩 Group FB: https://www.facebook.com/groups/DBAVietNam
👨 Website: https://www.tranvanbinh.vn
👨 Blogger: https://tranvanbinhmaster.blogspot.com
🎬 Youtube: https://www.youtube.com/@binhguru
👨 Tiktok: https://www.tiktok.com/@binhguru
👨 Linkin: https://www.linkedin.com/in/binhoracle
👨 Twitter: https://twitter.com/binhguru
👨 Podcast: https://www.podbean.com/pu/pbblog-eskre-5f82d6
👨 Địa chỉ: Tòa nhà Sun Square - 21 Lê Đức Thọ - Phường Mỹ Đình 1 - Quận Nam Từ Liêm - TP.Hà Nội

=============================
AI, trí tuệ nhân tạo, artificial intelligence, machine learning, deep learning, LLM, ChatGPT, DeepSeek, Grok, oracle tutorial, học oracle database, Tự học Oracle, Tài liệu Oracle 12c tiếng Việt, Hướng dẫn sử dụng Oracle Database, Oracle SQL cơ bản, Oracle SQL là gì, Khóa học Oracle Hà Nội, Học chứng chỉ Oracle ở đầu, Khóa học Oracle online,sql tutorial, khóa học pl/sql tutorial, học dba, học dba ở việt nam, khóa học dba, khóa học dba sql, tài liệu học dba oracle, Khóa học Oracle online, học oracle sql, học oracle ở đâu tphcm, học oracle bắt đầu từ đâu, học oracle ở hà nội, oracle database tutorial, oracle database 12c, oracle database là gì, oracle database 11g, oracle download, oracle database 19c, oracle dba tutorial, oracle tunning, sql tunning , oracle 12c, oracle multitenant, Container Databases (CDB), Pluggable Databases (PDB), oracle cloud, oracle security, oracle fga, audit_trail,oracle RAC, ASM, oracle dataguard, oracle goldengate, mview, oracle exadata, oracle oca, oracle ocp, oracle ocm , oracle weblogic, postgresql tutorial, mysql tutorial, mariadb tutorial, ms sql server tutorial, nosql, mongodb tutorial, oci, cloud, middleware tutorial, hoc solaris tutorial, hoc linux tutorial, hoc aix tutorial, unix tutorial, securecrt, xshell, mobaxterm, putty
By lúc
Labels: ,

ĐỌC NHIỀU
Trần Văn Bình - Oracle Database Master