Как временно повышать права пользователю?

Question

[Владимир Юрченков]

Вопрос все же не такой прямолинейный. Фактически это как indirect_role в Sybase. Есть некая процедура (текст которой скрыт), внутри которой идет проверка indirect роли у простого смертного на субд, если она имеется, то на время исполнения процедуры идет повышение прав. Например, присвоение определенной роли. После завершения операции, обратный откат в правах.

Есть ли такое в Postgre? Важно, чтобы это было безопасно и ненакладно.
Хочется дать право на просмотр всех процессов в pg_stat_activity (не только своих) + иметь возможность кильнуть процесс. Все без sa.

Пример того что нашел, но практический не применял:

Предопределенная роль pg_read_all_stats. На сколько безопасно выдавать простым смертным, а не только мониторингу? И как тут добавить права на килл, причем временно и без прямого предоставления sa?

Есть еще SECURITY DEFINER в параметрах создания функции. Но из расплывчатого описания, я понял, что это только для чтения.

Answer 1

[Melkij]

security definer и есть: проверка прав вызова функции (grant execute) будет проверять, может ли её вызвать этот пользователь, но сама функция дальше будет выполняться с правами владельца функции. В том числе с правами супера, если владелец - суперпользователь.

Не забудьте revoke execute on function .. from public;

begin;
create role specific_activity;
create function stat_activity() .. security definer;
revoke execute on function stat_activity() from public; -- права на запуск не всем
grant execute on function stat_activity() to specific_activity; -- а только этой роли
commit;
grant specific_activity to someuser;

btw, для pg_terminate_backend есть предопределённая роль pg_signal_backend.

Comments

[Владимир Юрченков]

Спасибо, попробую!