前言

数据安全是个老生常谈的话题，而数据库作为数据的基础底座，是黑客眼中的"圣杯"，在企业中通常都处于核心位置，更加需要建立完善的安全机制。加之数据库和操作系统、硬件、网络等息息相关，所处环境非常复杂，安全隐患非常之多。



Understanding the Security Around PostgreSQL - Highgo Software Inc.
这么多的安全隐患逐个巡检费时费力，那有没有一种快捷的方式进行评估检查呢？Sure，让我们有请主角登场——pgdsat：PostgreSQL Database Security Assessment Tool，安全审查工具。

pgdsat

链接在 https://github.com/HexaCluster/pgdsat，先看下它的介绍：
PGDSAT is a security assessment tool that checks around 70 PostgreSQL security controls of your PostgreSQL clusters including all recommendations from the CIS compliance benchmark but not only.

PGDSAT 是一种安全评估工具，可检查 PostgreSQL 集群的大约 70 项 PostgreSQL 安全控制，包括 CIS 合规性基准的所有建议，但不仅限于此。

检查项十分丰富，半个屏幕都塞不下，包括

1. 实例是否打开 checksum
2. 检查配置文件的权限
3. 数据库权限检查
4. 超级用户不允许远程链接
5. 密码复杂度
6. SSL/TLS
7. 加密插件是否安装，比如pgcrypto、pgsodium 等等，总计 80 余项检查项。

其次，PGDSAT 是个纯 perl 脚本，无需其他依赖，可以运行在任何 Linux 服务器之上。
让我们小试牛刀一下！安装过程很简单，可能需要装一下依赖 yum install perl-ExtUtils-MakeMaker

    perl Makefile.PL
    make
    sudo make install

不过我在运行的时候有个报错，找到这一行，修改 to_hex 为 as_hex 即可。

[postgres@mypg pgdsat]$ pgdsat -U postgres -h localhost -d postgres -o report.html
Can't locate object method "to_hex" via package "Math::BigInt" at /usr/local/share/perl5/PGDSAT/Netmask.pm line 427.

然后就可以开心地进行安全检查了，推荐用 HTML 的格式

[postgres@mypg pgdsat]$ pgdsat -U postgres -h localhost -d postgres -o report.html

稍等片刻，安全审查就做完了。

如上是我的小破云主机的审查报告，每一项都有详细的信息

更多审查项，就不再一一赘述了，各位可以亲自上手体验一下。

小结

pgdsat 还在不断迭代演进中，后续可能还会支持 SQL 注入检查、SQL 防火墙、增量比对等等

让我们拭目以待，Give it a try！

【PGCCC】PostgreSQL培训考试认证中心，国内权威PG培训认证机构，由工业和信息化部教育与考试中心直发证书。咨询【加V：pgccc400】
#PCP#PCA#postgresql培训#postgresql考试#postgresql认证