Les droits sous PostgreSQL

Les rôles

Sous PostgreSQL l'accès aux bases est contrôlé par des rôles.
Un rôle peut être vu soit comme un utilisateur, soit comme un groupe d'utilisateurs.
Un rôle peut :
- posséder des objets de la base de données,
- affecter des droits sur ses objets à d'autres rôles,
- posséder des rôles, transmettant ainsi ses droits aux rôles lui appartenant.
Les rôles sont séparés des utilisateurs du système d'exploitation.
Les rôles sont globaux à toute une installation de groupe de bases de données.

Le concept des rôles comprends les concepts des utilisateurs et des groupes. Dans les versions de PostgreSQL antérieures à la 8.1, les utilisateurs et les groupes étaient des types d'entité distincts mais, maintenant, ce ne sont que des rôles. Tout rôle peut agir comme un utilisateur, un groupe ou les deux.

Il est parfois utile de maintenir une correspondance entre utilisateurs du système d'exploitation et rôles sur la base de données, mais ceci n'a rien d'obligatoire. Sous Unix, par défaut un utilisateur postgres est créé ainsi qu'un compte postgres administrateur de la base de données et des fichiers liés à son installation.

Un rôle possédant plusieurs rôles est un groupe de rôles.

Les rôles

CREATE ROLE permet de créer un rôle en précisant éventuellement :
- le mode de superutilisateur (SUPERUSER),
- les autorisations de créer des utilisateurs (CREATEUSER), des rôles (CREATEROLE) et des bases de données (CREATEDB),
- la possibilité de se connecter (LOGIN),
- la limite de connections simultanées (CONNECTION LIMIT num),
- le mot de passe (PASSWORD mot_de_passe) avec limite éventuelle de validité (VALID UNTIL date),
- la liste des rôles auxquels il appartient (IN ROLE role1,role2,...),
- la liste des rôles lui appartenant (ROLE role1,role2,...).

Les valeurs par défaut font qu'il n'est pas possible de se connecter sur un rôle défini. Il ne faudra pas oublier de positionner l'option LOGIN pour un rôle destiné à permettre la connexion. La fonction CREATE USER peut être utilisée à la place de CREATE ROLE car la seule différence est qu'elle active le mode LOGIN par défaut.

Il existe également d'autres options qui, pour la plupart, ne sont là que pour des raisons de compatibilité avec les versions antérieures.

Les rôles

Exemple de création d'un rôle ayant la possibilité d'établir une connexion avec mot de passe toto valable jusqu'au 31 octobre 2021 à minuit UTC :
```
CREATE ROLE luc
LOGIN
PASSWORD 'toto' VALID UNTIL '2021-10-31 00:00:00';
```
Exemple de création d'un rôle possédant le rôle précédemment défini :
```
CREATE ROLE devel
ROLE luc;
```
Exemple de création d'un rôle appartenant au rôle précédemment défini :
```
CREATE ROLE jean
IN ROLE devel;
```

Les rôles

DROP ROLE permet de supprimer un ou plusieurs rôles.

Exemple d'affichage des rôles existants :

SELECT rolname FROM pg_roles;
   rolname   
-------------
 postgres
 luc
 jean
 devel
(4 lignes)

Exemple de destruction des rôles précédemment définis :
```
DROP ROLE luc, jean, devel;
```

La table pg_roles contient les informations sur les différents rôles, ainsi il est possible de les consulter par :

SELECT * FROM pg_roles;

La possibilité de détruire simultanément plusieurs rôles est une extension de le nome SQL.

Personnalisation des rôles

ALTER ROLE permet de modifier les paramètres d'un rôle.
Exemple de modification de mot du passe et de la date d'expiration :
```
ALTER ROLE luc
PASSWORD 'titi' VALID UNTIL 'TOMORROW 19:30';
```
Elle permet de renommer un rôle.
Exemple de changement de nom :
```
ALTER ROLE jean
RENAME TO jeanne;
```
Il est possible d'attribuer un search_path à un rôle, par exemple par la commande :
```
ALTER ROLE jeanne IN DATABASE test_postgres
SET search_path TO le_schema, public;
```

Il est possible d'attribuer des paramètres à un rôle dans une base de donnée particulière comme illustré dans ce dernier exemple. Ceci se fait par la directive IN DATABASE db_name. Dans le cas où aucune base de données n'est visée le paramètre portera sur l'ensemble des bases de données du cluster.

Autoriser l'accès

Déclarer des rôles est insuffisant pour permettre une connexion distante sur un serveur PostgreSQL.
Le fichier pg_hba.conf permet de contrôler les accès.
Chaque cluster dispose de son fichier de configuration pg_hba.conf.
Ce fichier permet de définir des droits dépendant du type de connexion et distingue :
- Les connexions locales par socket UNIX (local)
- les connections réseau en fonction :
  - du mode clair (hostnossl), crypté (hostssl) ou quelconque (host),
  - de l'adresse IP précisée au format CIDR en IPV4 ou IPV6.

Le fichier de configuration pg_hba.conf est défini dans postgres.conf.

Un autre blocage pour les connexions réseau peut être présent dans le fichier postgres.conf, car il contient la directive listen_addresses indiquant quelles sont les adresses à écouter. La valeur listen_addresses = '*' validera toutes les interfaces réseau. Il est également possible de modifier l'adresse du port d'écoute qui par défaut est 5432, ainsi que le nombre maximal de connexions simultanées.

Autoriser l'accès

En fonction du type de connexion du nom du cluster et de l'utilisateur visé il est possible de préciser le type d'authentification.
Celle-ci peut être :
- fermée à tous (reject),
- ouverte à tous sans mot de passe (trust),
- basée sur un mot de passe chiffré dans la base de données (md5) :
  - soit en md5 (via SET password_encryption TO md5)
  - soit en scram-sha-256 (via SET password_encryption TO "scram-sha-256" par défaut)
- basée sur les utilisateurs UNIX (ident) ...

Le fichier pg_hba.conf est parcouru progressivement pour chaque type d'accès, chaque utilisateur et chaque cluster. Le premier en correspondance interrompra le parcours et le mode d'accès correspondant sera utilisé. Il est donc possible de configurer finement les droits pour chaque utilisateur.

Le mode trust ne devrait pas être utilisé en dehors des connections locales : socket UNIX et localhost.

Lors de la définition d'un mot de passe, si le système reconnaît une chaîne de caractères conforme à l'un de ses algorithmes de chiffrement, celle-ci sera insérée telle qu'elle est fournie dans colonne rolpassword de la table pg_authid, dans le cas contraire elle sera hachée par l'algorithme précisé par la variable password_encryption.

Autoriser l'accès

Exemple de fichier `pg_hba.conf`

Fichier pg_hba.conf :

# conn  bdd    user  adresse_CIDR   auth
local   all    all                  trust
host    all    all   127.0.0.1/32   trust
host    all    all   10.0.0.0/24    password
host    all    all   all            scram-sha-256

Ce fichier permet
- une connexion sans restrictions en mode local et sur localhost
- une connexion par mot de passe sur le réseau local local
- une connexion par mot de passe chiffré sur le reste du monde

Le mot clef all permet de dire que tous les éléments sont concernés. Il peut se substituer aux connexions, aux bases de données et aux utilisateurs.

Les droits

Lors de sa création, un objet est affecté à un propriétaire.
Le valeurs par défaut sont telles que :
- le propriétaire est celui qui a créé l'objet,
- seul le propriétaire à des droits sur l'objet.
La fonction ALTER permet de modifier le propriétaire d'un objet.
Les fonctions GRANT et REVOKE permettent de modifier les droits d'un objet.
Elles permettent également de modifier les droits sur des rôles.

En fonction du type d'objet visé, la syntaxe de ALTER sera différente. Par exemple pour modifier le propriétaire d'une table il faudra utiliser ALTER TABLE ma_table OWNER TO mon_utilisateur;.

Les droits

Syntaxe pour attribuer les droits d'un utilisateur à un autre :
```
GRANT user_source TO user_cible
```
Dès que les droits sont modifiés il est possible de :
- disposer immédiatement des droits de user_source depuis user_cible si le mode INHERIT de user_cible est activé,
- dans tous les cas, depuis user_cible de changer d'utilisateur par SET ROLE user_source
Le mode INHERIT du rôle permet de disposer automatiquement des droits.
Syntaxe pour enlever les droits d'un utilisateur sur un autre :
```
REVOKE user_source FROM user_cible
```

La modification explicite du rôle par SET ROLE user_source entraînera que l'identité effectivement utilisée sera user_source tandis que la modification implicite conservera l'identité user_cible. Ceci se constate facilement en créant un élément qui appartiendra au rôle l'ayant créé.

Le mode INHERIT est positionné par défaut lors de la création d'un rôle.

Les héritages de rôles sont stockés dans la table pg_auth_members sous forme d'OID.

Les types de droits

Les droits pouvant être attribués à un objet dépendent du type d'objet,

La syntaxe de la commande GRANT associée est :

GRANT droits ON type_objet nom_objet TO rôle

Exemple d'attribution de droits sur une table :
```
GRANT SELECT ON TABLE ma_table TO role1;
```

Pour enlever les droits il faut utiliser REVOKE :

REVOKE droits ON type_objet nom_objet FROM rôle

Exemple de suppression des droits sur une table :
```
REVOKE SELECT ON TABLE ma_table FROM role1;
```

Les types de droits

nom	description
`SELECT`	Autorise `SELECT` et `COPY TO` sur la table ou la colonne de table indiquée.
`INSERT`	Autorise `INSERT` et `COPY FROM` sur la table ou la colonne de table indiquée.
`UPDATE`	Autorise `UPDATE` sur la table ou la colonne de table indiquée. Sera aussi nécessaire pour `SELECT FOR UPDATE` et `SELECT FOR SHARE`
`DELETE`	Autorise `DELETE` sur la table ou la colonne de table indiquée.
`TRUNCATE`	Autorise `TRUNCATE` sur la table indiquée.
`REFERENCES`	Autorise une table ou une colonne de table à servir de référence pour une contrainte de clef étrangère
`TRIGGER`	Autorise la création d'un déclencheur sur la table indiquée
`CONNECT`	Autorise l'utilisateur à se connecter à la base indiquée
`EXECUTE`	Autorise l'utilisation de la fonction indiquée et l'utilisation de tout opérateur défini sur cette fonction

Les types de droits

nom	description
`CREATE`	Sur bases de données : autorise la création de nouveaux schémas Sur schémas : autorise la création de nouvelles table, vues, ... Sur tablespaces : autorise la création de tables, d'index et de fichiers temporaires
`TEMPORARY`	Autorise la création de tables temporaires dans de la base de données
`USAGE`	sur langages procéduraux : autorise l'utilisation du langage pour la création de fonctions sur schémas : autorise l'accès aux objets contenus dans le schéma indiqué sur séquences : autorise l'utilisation des fonctions `currval` et `nextval`
`ALL PRIVILEGES`	Donne tous les droits disponibles en une seule opération

Le droit d'écriture dans un schéma ne donne pas le droit de lecture sur celui-ci. Ainsi un utilisitateur disposant de CREATE mais pas de USAGE peut créer une table sans pouvoir consulter les données écrites par la suite. C'est le principe de la boîte aux lettres.

À propos de la transmission des droits

Les objets peuvent se voir attribuer des droits particuliers à partir de leur propriétaire.
Les droits seront transmis à des utilisateurs qui par défaut ne pourront pas les transmettre à d'autres utilisateurs.
La directive WITH GRANT OPTION permet de rendre la transmission possible.

Exemple :

CREATE TABLE test (id int);
CREATE TABLE
GRANT ALL ON TABLE test to luc WITH GRANT OPTION;
GRANT
-- reconnexion sur "db" en utilisateur "luc"
\connect db luc
-- la délégation de droits par "luc" sur la table "test" est possible
GRANT ALL ON TABLE test to toi;
GRANT

Le mécanisme de propagation des droits est également accessible pour les rôles par l'utilisation de la commande suivante :

GRANT user_source TO user_cible WITH ADMIN OPTION;
GRANT ROLE

Cette affectation permettra à user_cible de transmettre les droits sur user_source à un autre utilisateur.

Les droits par défaut

Depuis la version 9.0 il est possible de fixer les droits par défaut à appliquer.

Ils se définissent optionnellement sur un rôle et sur un schéma par la commande :

ALTER DEFAULT PRIVILEGES [ FOR ROLE rôle ] [ IN SCHEMA schéma ]
	      ( GRANT | REVOKE ) ...

Par exemple pour donner les droits de lecture à jeanne lors de la création de tables par luc dans le schéma geo_france :

ALTER DEFAULT PRIVILEGES FOR ROLE luc IN SCHEMA geo_france
      GRANT SELECT ON TABLES TO jeanne;
ALTER DEFAULT PRIVILEGES

Les droits par défaut sont enregistrés dans la table système pg_default_acl.

Le rôle `PUBLIC`

Bien que par défaut un rôle n'ayant pas créé un objet n'a aucun droit sur celui-ci on remarque que tout nouveau rôle dispose :
- des droits de connexion sur les bases de données existantes,
- des droits de lecture et d'écriture sur le schéma public.
Ceci est dû à la présence d'un rôle implicite nommé PUBLIC qui est transmis par héritage à tout utilisateur.
Pour empêcher l'accès à des ressources il suffira de restreindre les droits accordés à PUBLIC pour celles-ci.
Exemple d'interdiction de connexion à test_postgres pour tout rôle non explicitement autorisé :
```
REVOKE CONNECT ON DATABASE test_postgres FROM PUBLIC;
REVOKE
```

Les politiques de sécurité par ligne

Depuis la version 9.5 il est possible de fixer les droits sur des lignes particulières d'une relation.
Ceci se réalise en deux étapes :
- validation des politiques de sécurité au niveau de la table :
```
ALTER TABLE nom_table ENABLE ROW LEVEL SECURITY
```
- affectation de la règle d'accessibilité à un utilisateur :
```
CREATE POLICY nom ON nom_table [ FOR mode ]
              [ TO role ] USING (fonc_bool)
```

Exemple de règle interdisant luc de SELECT sur les villes commençant par u :

ALTER TABLE villes ENABLE ROW LEVEL SECURITY;
ALTER TABLE
CREATE POLICY pas_de_ville_en_u ON villes FOR SELECT
       TO luc USING (nom !~* '^u');
CREATE POLICY

Pour supprimer la règle précédente on lancera la commande suivante :
```
DROP policy pas_de_ville_en_u ON villes;
DROP POLICY
```

Si l'utilisateur n'est pas précisé c'est le rôle PUBLIC qui sera visé.

Si le mode n'est pas précisé tous les droits seront visés (équivalent de FOR ALL).

Stockage des droits et des rôles

Les rôles sont accessibles par la vue pg_roles créée à partir de la table pg_authid.
Les droits attribués aux différents éléments sont stockés dans les tables propres à chaque type d'objet sous forme d'ACL.
Ainsi nous avons les droits sur :
- les fonctions qui sont dans la colonne pg_proc.proacl
- les relations qui sont dans la colonne pg_class.relacl
- les schémas qui sont dans la colonne pg_namespace.nspacl
- les bases de données qui sont dans la colonne pg_database.datacl...
Le type de données de ces colonnes est aclitem[].

Bien qu'il ne soit pas nécessaire d'intervenir directement sur les tables systèmes, on peut constater que les ACL sont écrites sous forme d'un tableau à une dimension contenant des indications de la forme {"lespostgres=arwdDxt/postgres","toto=r/postgres"}. La table pg_shdepend maintient les dépendances entre les divers objets de la base de données, et pour pouvoir supprimer, par exemple, un rôle il faudra s'assurer que celui-ci n'est plus présent dans cette relation.

Les tables destinées au stockage des rôles (pg_authid, pg_auth_members...) sont placées dans l'espace global et donc dans le tablespace pg_global.

Stockage des droits et des rôles

Les droits sont stockés par ACLs indiquées au format suivant :

plusieurs blocs peuvent être présents à raison d'un par rôle visé tel que :
```
rôle1_visé=droits/attributeur,rôle2_visé=droits/attributeur,...
```
le rôle PUBLIC est exprimé par une chaîne vide,

les droits attribués aux rôles sont conformes au tableau suivant :

symbole	description
`r`	SELECT ("lecture")
`w`	UPDATE ("écriture")
`a`	INSERT ("ajout")
`d`	DELETE
`D`	TRUNCATE
`x`	REFERENCES
`t`	TRIGGER
`X`	EXECUTE
`U`	USAGE
`C`	CREATE
`c`	CONNECT
`T`	TEMPORARY

La présence d'une * indique que le droit est attribué avec GRANT OPTION

Par exemple la table villes ayant les droits de lecture sur PUBLIC et tous les droits sur role1 attribués par postgres présentera dans la colonne relacl de la table pg_class le contenu suivant :

SELECT relacl,relname FROM pg_class WHERE relname = 'villes';
                relacl                | relname
--------------------------------------+---------
 {=r/postgres,role1=arwdDxt/postgres} | villes
(1 ligne)

Pour obtenir de l'aide

Sur le site officiel de PostgreSQL :

Les rôles et les droits : docs.postgresql.fr/current/user-manag.html
L'authentification du client : docs.postgresql.fr/current/client-authentication.html

Aide interne par `psql` :

pour afficher les droits des utilisateurs du système :
```
SELECT * FROM pg_roles;
```
pour afficher la liste des rôles présents sur le système :
```
\dg+
```
pour afficher la liste des rôles par tables, vues et séquences :
```
\dp
```
pour afficher la liste des rôles par défaut :
```
\ddp
```

pour afficher les héritages de roles :

SELECT u.rolname as user, r.rolname as "role"
FROM pg_roles u JOIN pg_auth_members m ON (member = u.oid)
JOIN pg_roles r ON (roleid=r.oid) ORDER BY user;

Pour obtenir de l'aide

Quelques commandes d'audit :

Pour afficher tous les droits accordés sur les colonnes des tables de la base de données courante au rôle PUBLIC :

SELECT grantee, privilege_type, table_schema,
  table_name, column_name
  FROM information_schema.column_privileges
  WHERE grantee = 'PUBLIC'
  ORDER BY table_schema, table_name;

Pour afficher le role courant ansi que l'utilisateur ayant ouvert la session :
```
SELECT current_role;
SELECT session_user;
```

Pour obtenir de l'aide

Pour afficher les droits accordés sur les tables au rôle luc :

SELECT grantee, privilege_type, table_schema, table_name
  FROM information_schema.table_privileges
  WHERE grantee IN (
    SELECT DISTINCT rolname FROM (
      WITH RECURSIVE geth(i, m) AS (
        SELECT oid, oid FROM pg_roles WHERE rolname = 'luc' 
        UNION ALL
        SELECT roleid, member FROM geth AS g
        JOIN pg_auth_members ON member = i
    )
    SELECT * FROM geth) AS rec
  JOIN pg_roles AS ol ON ol.oid = rec.i)
  ORDER BY table_schema, table_name;

Formation administration PostgreSQL

Les utilisateurs et les droits

Les rôles

Les rôles

Les rôles

Les rôles

Personnalisation des rôles

Autoriser l'accès

Autoriser l'accès

Autoriser l'accès

Exemple de fichier `pg_hba.conf`

Les droits

Les droits

Les types de droits

Les types de droits

Les types de droits

À propos de la transmission des droits

Les droits par défaut

Le rôle `PUBLIC`

Les politiques de sécurité par ligne

Stockage des droits et des rôles

Stockage des droits et des rôles

Pour obtenir de l'aide

Sur le site officiel de PostgreSQL :

Aide interne par `psql` :

Pour obtenir de l'aide

Quelques commandes d'audit :

Pour obtenir de l'aide

Formation administration PostgreSQL

Les utilisateurs et les droits

Les rôles

Les rôles

Les rôles

Les rôles

Personnalisation des rôles

Autoriser l'accès

Autoriser l'accès

Autoriser l'accès

Exemple de fichier pg_hba.conf

Les droits

Les droits

Les types de droits

Les types de droits

Les types de droits

À propos de la transmission des droits

Les droits par défaut

Le rôle PUBLIC

Les politiques de sécurité par ligne

Stockage des droits et des rôles

Stockage des droits et des rôles

Pour obtenir de l'aide

Sur le site officiel de PostgreSQL :

Aide interne par psql :

Pour obtenir de l'aide

Quelques commandes d'audit :

Pour obtenir de l'aide

Exemple de fichier `pg_hba.conf`

Le rôle `PUBLIC`

Aide interne par `psql` :