Postgres設定ファイルの暗号化

Question

現在、Postgresでは、システムにアクセスする人（データベースでなくても）がファイルを修正してエントリを取得できるため、データベースが依存する.confファイルが最大のセキュリティホールです。このため、これらの.confファイルを暗号化し、データベースの各セッション中に復号化する方法に関するリソースを探しています。パフォーマンスは現時点では問題にはなりません。誰もがこれに関するリソースを持っているか、誰かがこの機能を利用するプロトタイプを開発していますか？

ここで、それは私が求めていますが何であるかについていくつかの混乱があるようですので

編集。シナリオは最高の次のグループを持つWindowsボックス上で示すことができる。
1）System Administrators
2を管理者に）データベース管理者Postgres Administrators
3）監査役Security Auditors

監査グループは、通常のファイルと設定ファイルをログに記録するアクセスする必要がありますシステムのセキュリティを確保します。しかし、この問題は、AuditorsグループのメンバーがPostgresの設定とログファイルを表示する必要がある場合に発生します。このメンバーがdo notにデータベースアカウントを持っていてもデータベースにアクセスしたいと判断した場合は、break inという非常に短いタスクです。これを防ぐ方法は？次のような回答：Get better auditorsは、人々が何をするのかを決して完全に予測することができないので、かなり貧弱です。

Answer 1

あなたは問題ありません。 * .confファイルのアクセス権が正しい限り、暗号化する必要はありません。

あなたのpostgresql.confとpg_hba.confは両方とも、postgresユーザー/グループだけが読み取り可能とマークする必要があります。これらのアクセス権を持つ実際のユーザーがいない場合は、ルートユーザーのみがアクセスできます。

Answer 2

ですから、ルートの変更を防止しようとしていますか？通常のユーザーだけがこれらのファイルを変更することはできないので、rootを信頼しないと、すでに失われてしまっています。

Answer 3

私はあなたが立ち往生するかもしれないと思う - ここにあなたが言った：あなたは本当に監査役は、あなたの設定ファイルで取得できるようにしたい場合は

How does one go about preventing [Auditors from accessing the database using the values in the configuration files]?

しかし：

The Auditors group typically needs access to log files and configuration files

、その後、あなたのデータベースにアクセスすることについて緊張しています。あなたのベスト・ベットは、あなたの設定ファイルをあなたのサーバーから別の場所に移動することです。そして、監査人が実際にあなたのプロダクション・システム茎。彼らは依然として必要なすべてのログファイルを見ることができますが、データベースサーバにアクセスしてデータベース自体にアクセスすることはできません。