Postgres Advanced Security Packテクノロジープレビュー版をリリースしました

本日、「Postgres Advanced Security Pack」というパッケージのプレビュー版をリリースしましたので、ご紹介させていただきます。

■「Postgres Advanced Security Pack」とは何か？

「Posetgres Advanced Security Pack」は、オープンソースで公開されている PostgreSQL のセキュリティ関連の拡張を複数まとめてビルド、RPMパッケージにしたものです。

PostgreSQLの拡張モジュールは、別々の開発者によって個別に開発・配布されているため、自分自身の環境で導入しようとすると手間がかかったり、あるいは単に知られていなかったりしますが、それらの問題を解決して、より簡単に導入できるようにすることを目的としてパッケージ化したものです。

このパッケージを使うことによって、PostgreSQLデータベースにセキュリティ関連の拡張を簡単に追加することができます。

現在、本パッケージには以下の3つのEXTENSION（拡張）が含まれています。

sql_firewall 0.8.1をリリースしました

先月リリースした sql_firewall の修正版としてバージョン0.8.1をリリースしました。

sql_firewallの詳細については、前回の記事を参考にしてください。

• PostgreSQL用SQLファイアーウォール「sql_firewall」リリース

0.8.1における修正点は以下の通りです。

• Fix sql_firewall.c to suppress `unused-const-variable' warning on OS X.
• Fix sql_firewall_import_rule() to check file status before importing a rule file.
• Fix JumbleRangeTable() to jumble query with relation name instead of oid.
• Fix JumbleExpr() to use function name on query jumbling instead of the oid.
• Fix README to add the Compatibility section.
• Add COPYRIGHT and ChangeLog.

sql_firewallは、クエリの種類を「クエリID」と呼ばれるハッシュ値を使って識別しています。

以前は、クエリIDの生成がテーブルや関数の OID に依存していたので、テーブルや関数の DROP & CREATE をすると、例えそれらの名前が変わらなくてもクエリIDが変わる、という現象が発生していました。（これは sql_firewall の元となった pg_stat_statements でも同様です）

バージョン0.8.1では、この点を修正し、テーブルや関数を作り直してもクエリIDが同一に保たれるようになりました。

PostgreSQL用SQLファイアーウォール「sql_firewall」リリース

先日、sql_firewallというPostgreSQLの拡張モジュール（EXTENSION）をリリースしました。

• https://news.ycombinator.com/item?id=10109566
• https://github.com/uptimejp/sql_firewall

このモジュールは、PostgreSQL上で実行可能なSQLを制限することで、SQLインジェクションを防ぐことを目的としたものです。

今回はこの sql_firewall について、その仕組みと使い方を簡単にご紹介します。

■sql_fiewallの仕組み

sql_firewallには、以下の3つの動作モードがあります。

• 学習モード（learning）
• 警告モード（permissive）
• 防御モード（enforcing）