Как в Postgres с помощью прав root пользователя можно создать файлы в системе?

Question

MishaXXL @MishaXXL

PostgreSQL

Как в Postgres с помощью прав root пользователя можно создать файлы в системе?

Как с помощью Postgres можно создавать и запускать файлы в системе имея доступ к root пользователю?
И какие права пользователя разрешают постгресу данные действия?

Столкнулся с ситуацией, когда оставил БД со стандартными именем и паролем для рут пользователя, думая, что потолок вредоносных событий это удаление таблиц при получении доступа злоумышленниками
Но вышло так, что там создались файлы и загруженность процессора стала постоянной на 100%

Вопрос задан более года назад
304 просмотра

4 комментария

Подписаться 2 Простой 4 комментария

Everything_is_bad @Everything_is_bad

ты не ту проблему пытаешься решить

когда оставил БД со стандартными именем и паролем для рут пользователя
что это значит, откуда взялся пароль для рут пользователя?

Написано более года назад
MishaXXL @MishaXXL Автор вопроса
Everything_is_bad, он не особо и прятался, т.к. это был тестовый запуск на сервере неизвестного домена
Как там на следующий день появилась такая суета, тайна

services: postgres: container_name: postgres_container image: postgres environment: POSTGRES_DB: postgres POSTGRES_USER: postgres POSTGRES_PASSWORD: postgres
Написано более года назад
Everything_is_bad @Everything_is_bad

MishaXXL, зачем ты работаешь с базой от postgres? зачем ты postgres поставил какой-то пароль? Ты должен создать нового юзера с ограниченными правами, создать новую базу, выдать права на владения этому пользователю, а не работать с базой от рута базы.

Написано более года назад
Василий Банников @vabka

MishaXXL,
1. Никогда не надо разрешать подключение от postgres пользователя из внешних сетей
2. Никогда не надо оставлять стандартные креды вообще нигде
3. Никогда не надо приложению выдавать postgres как учётку для работы с данными.

Написано более года назад

ты не ту проблему пытаешься решить

когда оставил БД со стандартными именем и паролем для рут пользователя
что это значит, откуда взялся пароль для рут пользователя?
Everything_is_bad, он не особо и прятался, т.к. это был тестовый запуск на сервере неизвестного домена
Как там на следующий день появилась такая суета, тайна

services: postgres: container_name: postgres_container image: postgres environment: POSTGRES_DB: postgres POSTGRES_USER: postgres POSTGRES_PASSWORD: postgres
MishaXXL, зачем ты работаешь с базой от postgres? зачем ты postgres поставил какой-то пароль? Ты должен создать нового юзера с ограниченными правами, создать новую базу, выдать права на владения этому пользователю, а не работать с базой от рута базы.
MishaXXL,
1. Никогда не надо разрешать подключение от postgres пользователя из внешних сетей
2. Никогда не надо оставлять стандартные креды вообще нигде
3. Никогда не надо приложению выдавать postgres как учётку для работы с данными.

Answer 1 · 2024-01-31 18:56:48

В норме никак, но можно найти уязвимость типа переполнения буфера, грубо говоря переписать код запущенного приложения прямо в памяти, и оно будет делать всё что угодно.

Как в Postgres с помощью прав root пользователя можно создать файлы в системе?

Войдите на сайт