openGauss 设置文件权限安全策略

设置文件权限安全策略

背景信息

数据库在安装过程中，会自动对其文件权限（包括运行过程中生成的文件，如日志文件等）进行设置。其权限规则如下：

• 数据库程序目录的权限为0750。

• 数据库数据文件目录的权限为0700。

  数据库部署时通过创建xml配置文件中的tmpMppdbPath参数指定目录（若未指定，则默认创建/tmp/$USER_mppdb目录）来存放“.s.PGSQL.*”文件，该目录和文件权限设置为0700。

• 数据库的数据文件、审计日志和其他数据库程序生成的数据文件的权限为0600，运行日志的权限默认不高于0640。

• 普通操作系统用户不允许修改和删除数据库文件和日志文件。

数据库程序目录及文件权限

数据库安装后，部分程序目录及文件权限如表1所示。

表 1 文件及目录权限

文件/目录	父目录	权限
bin	-	0700
lib	-	0700
share	-	0700
data（数据库节点/数据库主节点）	-	0700
base	实例数据目录	0700
global	实例数据目录	0700
pg_audit	实例数据目录（可配置）	0700
pg_log	实例数据目录（可配置）	0700
pg_xlog	实例数据目录	0700
postgresql.conf	实例数据目录	0600
pg_hba.conf	实例数据目录	0600
postmaster.opts	实例数据目录	0600
pg_ident.conf	实例数据目录	0600
gs_initdb	bin	0700
gs_dump	bin	0700
gs_ctl	bin	0700
gs_guc	bin	0700
gsql	bin	0700
archive_status	pg_xlog	0700
libpq.so.5.5	lib	0600

建议

数据库在安装过程中，会自动对其文件权限（包括运行过程中生成的文件，如日志文件等）进行设置，适合大多数情况下的权限要求。如果用户产品对相关权限有特殊要求，建议用户安装后定期检查相关权限设置，确保完全符合产品要求。

详情查看：https://opengauss.org

详情查看：https://docs-opengauss.osinfra.cn