Než půjdeme do podrobností, děkujeme autorovi rozšíření ‘login hook’ za jeho vývoj a údržbu.
Mnohokrát jsem při migraci z Oracle na Postgres viděl použití spouštěče událostí databáze Oracle – PO PŘIHLÁŠENÍ. Jedná se o jeden typ spouštěče Oracle databáze/uživatelské události (LOGON), který se spustí, když se uživatel připojí k databázi, obvykle se používá k nastavení uživatelského prostředí a provádění funkcí spojených s rolemi zabezpečených aplikací.
Řekněme například, že máme uživatele aplikace, kam jsme chtěli, aby se připojil z aplikace POUZE a ne z jiných programů nebo klientů (Oracle/SQL*Plus). Toho lze dosáhnout vytvořením databázového spouštěče události PO PŘIHLÁŠENÍ v Oracle.
Postgres podporuje většinu standardních spouštěčů, ale neexistuje žádná spouštěč AFTER LOGON. K řešení jsem vybral login_hook rozšíření, které to zvládlo docela dobře.
Podívejme se, co pomocí rozšíření převedeme z Oracle na Postgres. V Oracle existuje spouštěč, který zabraňuje uživatelům aplikace připojit se k databázi z jiných programů/klientů (sqlplus).
CREATE OR REPLACE TRIGGER program_restrict
AFTER LOGON ON DATABASE
BEGIN
FOR x IN (SELECT username, program FROM SYS.v_$session WHERE audsid = USERENV ('sessionid'))
LOOP
IF LTRIM (RTRIM (x.username)) = 'MIGUSER' AND UPPER(substr(x.program,1,7)) = 'SQLPLUS'
THEN
raise_application_error(-20999,'Not authorized to use in the Production environment!');
END IF;
END LOOP;
END program_restrict;
Z výše uvedeného kódu je zřejmé, že MIGUSER (uživatel aplikace) je omezen na připojení přes SQL*PLUS klient a jakýkoli pokus uživatele bude mít za následek následující chybu:
[oracle@rrr ~]$ rlsqlplus miguser/miguser
... <trimmed banner>
ERROR:
ORA-04088: error during execution of trigger 'SYS.PROGRAM_RESTRICT'
ORA-00604: error occurred at recursive SQL level 1
ORA-20999: Not authorized to use in the Production environment!
ORA-06512: at line 6
ORA-06512: at line 6
Abychom předešli výše uvedenému požadavku, musíme nejprve zkompilovat rozšíření login_hook v Postgresu. Kroky jsou velmi jednoduché jako každá jiná kompilace rozšíření
--Download zip/Git clone the extension
https://github.com/splendiddata/login_hook
-- Set the pg_config in your path
[root@node1-centos8 ~]# export PATH=/usr/pgsql-13/bin:$PATH
-- change to login_hook directory and run make/make install
[root@node1-centos8 ~]# cd login_hook
[root@node1-centos8 login_hook]# make
[root@node1-centos8 login_hook]# make install
-- add the login_hook.so to session_preload_libraries and restart the database
[root@node1-centos8 ~]# grep -i session_preload /var/lib/pgsql/13/data/postgresql.conf
session_preload_libraries = 'login_hook'
[root@node1-centos8 ~]# systemctl restart postgresql-13.service
-- connect to the database and create the extension
[postgres@node1-centos8 ~]$ psql
psql (13.1)
Type "help" for help.
postgres=# create extension login_hook;
CREATE EXTENSION
Nyní jsme všichni připraveni toto rozšíření používat. V našem případě zabráníme uživateli aplikace používat Postgres klienta psql . Chcete-li to provést, použijte funkci šablony na login_hook stránku rozšíření a upravte ji tak, aby zachytila název klientské aplikace z pg_stat_activity zobrazit a ukončit pomocí pg_terminate_backend() funkce systému. Poznámka:Stejnou funkci šablony můžete použít pro několik účelů pro správu uživatele aplikace.
CREATE OR REPLACE FUNCTION login_hook.login() RETURNS VOID LANGUAGE PLPGSQL AS $$
DECLARE
ex_state TEXT;
ex_message TEXT;
ex_detail TEXT;
ex_hint TEXT;
ex_context TEXT;
rec record;
BEGIN
IF NOT login_hook.is_executing_login_hook()
THEN
RAISE EXCEPTION 'The login_hook.login() function should only be invoked by the login_hook code';
END IF;
BEGIN
for rec in select pid,usename,application_name from pg_stat_activity where application_name ilike 'psql%'
loop
if rtrim(rec.usename) = 'miguser' and rtrim(rec.application_name) = 'psql' then
raise notice 'Application users(%) restricted to connect with any clients(%)',rec.usename,rec.application_name;
perform pg_terminate_backend(rec.pid);
end if;
end loop;
EXCEPTION
WHEN OTHERS THEN
GET STACKED DIAGNOSTICS ex_state = RETURNED_SQLSTATE
, ex_message = MESSAGE_TEXT
, ex_detail = PG_EXCEPTION_DETAIL
, ex_hint = PG_EXCEPTION_HINT
, ex_context = PG_EXCEPTION_CONTEXT;
RAISE LOG e'Error in login_hook.login()\nsqlstate: %\nmessage : %\ndetail : %\nhint : %\ncontext : %'
, ex_state
, ex_message
, ex_detail
, ex_hint
, ex_context;
END ;
END$$;
-- Give exeuction grant on the function.
GRANT EXECUTE ON FUNCTION login_hook.login() TO PUBLIC;
Nyní se podívejme, zda uživatel aplikace může používat Postgres psql pro připojení k databázi.
[postgres@node1-centos8 ~]$ psql -U miguser -d postgres -p 5432
NOTICE: Application users(miguser) restricted to connect with any clients(psql)
psql: error: FATAL: terminating connection due to administrator command
CONTEXT: SQL statement "SELECT pg_terminate_backend(rec.pid)"
PL/pgSQL function login_hook.login() line 20 at PERFORM
SQL statement "select login_hook.login()Chladný. Jsme schopni zabránit připojení uživatelů aplikace z jakéhokoli jiného programu/klienta v Postgres.
Děkuji.
–Raghav