作成されたユーザーは、許可なしでPostgreSQLのすべてのデータベースにアクセスできます

PostgreSQLのセットアップに関して何かが欠けているに違いありません。私がやりたいのは、特定のユーザーが指定したデータベースにのみアクセスできるように、互いに分離された複数のデータベースとユーザーを作成することです。しかし、私が判断できることから、作成されたユーザーは、特定の許可が与えられなくてもすべてのデータベースにアクセスできます。

Ubuntu Server 12.04で行うことは次のとおりです。

1. apt-get postgresqlをインストール
2. sudo -u postgres createuser -DRSP mike1（新しいユーザーのパスワードの指定）
3. sudo -u postgres createdb data1
4. psql -h localhost -U mike1 data1（ログインするユーザーmike1のパスワードの指定）

新しいユーザー「mike1」は、データベース「data1」に接続してテーブルなどを作成しても問題ないようです。また、これは、GRANTコマンドをまったく実行せずに（および「data1」の所有者は「postgres手順3）の所有者。これは実際にどのように機能するはずですか？

私がやりたいのは、mike1にdata1へのフルアクセスを許可してから、これをより多くのユーザーとデータベースに対して繰り返し、ユーザーが選択した1つ（またはおそらく複数）のデータベースにのみアクセスできるようにすることです。

SQLレベルでは、すべてのユーザーは、次のSQLコマンドが発行されるまで、新しく作成されたデータベースに実際に接続できます。

REVOKE connect ON DATABASE database_name FROM PUBLIC;

完了したら、接続できるはずの各ユーザーまたはロールに、接続権限を明示的に付与する必要があります。

GRANT connect ON DATABASE database_name TO rolename;

編集：マルチテナントシナリオでは、connect特権だけが削除されます。マルチテナンシーのヒントとベストプラクティスについては、postgresqlの公開wiki：PostgreSQLの共有データベースホスティングと管理の権利をお読みください 。

PUBLICはデフォルトでデータベースにアクセスできますが、データにはアクセスできません。PUBLICを取り消すことができます。

REVOKE CONNECT ON DATABASE your_database FROM PUBLIC;

今後すべてのデータベースでこの設定が必要な場合は、template1データベース（新しいデータベースを作成するためのデフォルトのテンプレートデータベース）でCONNECTを取り消します。

REVOKE CONNECT ON DATABASE template1 FROM PUBLIC;

デフォルトでPUBLICから接続特権を取り消し、特に必要に応じてそれらを許可することに加えて、アクセスを制御できる他のレベルはpg_hba.confファイルを使用します。

ファイルの保存場所は次の方法で確認できます。

SHOW hba_file;

このメカニズムの使用を選択した場合、開始するのに十分なコメントが埋め込まれています。ドキュメントは次のとおりです。

http://www.postgresql.org/docs/current/interactive/auth-pg-hba-conf.html

ユーザーが他のデータベース名をリストすることさえできないようにする方法を探しているこのスレッドに出会いました。これREVOKE CONNECTはこれを妨げません。

このSO質問への回答によると、それを達成する（推奨される）方法はありません。