最近,我写了一个概述您需要了解什么PostgreSQL安全。对于这篇文章,我想写PostgreSQL身份验证。它分为三个类别:1。PostgreSQL内部认证,2。OS-based认证,和3。外部服务器的身份验证。在大多数情况下,PostgreSQL配置为使用内部身份验证,这里我们将详细讨论每一个内部身份验证方法。接下来的博客将覆盖操作系统身份验证方法如PAM、同行和鉴别。
以下是支持PostgreSQL内部认证方法列表。
- 信任
- 拒绝
- md5
- 急停
- Cert
PostgreSQL称为pg_hba.conf有一个配置文件来配置身份验证。所有与设置是这个配置文件的一部分。这是示例pg_hba。配置文件:
|
1
2
3
4
5
6
|
主机<跨度类="crayon-h">
数据库<跨度类="crayon-h">
用户<跨度类="crayon-h">
地址<跨度类="crayon-h">
身份验证<跨度类="crayon-o">- - - - - -<跨度类="crayon-i">方法<跨度类="crayon-h">
(<跨度类="crayon-v">身份验证<跨度类="crayon-o">- - - - - -<跨度类="crayon-v">选项<跨度类="crayon-sy">]
- - -<跨度类="crayon-o">- - -<跨度类="crayon-o">- - -<跨度类="crayon-o">+<跨度类="crayon-o">- - -<跨度类="crayon-o">- - -<跨度类="crayon-o">- - -<跨度类="crayon-o">- - -<跨度类="crayon-o">- - -<跨度类="crayon-o">- - -<跨度类="crayon-o">- - -<跨度类="crayon-o">- - - - - -<跨度类="crayon-h">
+<跨度类="crayon-o">- - -<跨度类="crayon-o">- - -<跨度类="crayon-o">- - -<跨度类="crayon-o">- - -<跨度类="crayon-o">- - -<跨度类="crayon-o">- - -<跨度类="crayon-o">- - -<跨度类="crayon-o">- - -<跨度类="crayon-o">- - - - - -<跨度类="crayon-o">+<跨度类="crayon-o">- - -<跨度类="crayon-o">- - -<跨度类="crayon-o">- - -<跨度类="crayon-o">- - -<跨度类="crayon-o">- - -<跨度类="crayon-o">- - -<跨度类="crayon-o">- - -<跨度类="crayon-o">- - -<跨度类="crayon-o">+<跨度类="crayon-o">- - -<跨度类="crayon-o">- - -<跨度类="crayon-o">- - -<跨度类="crayon-o">- - -<跨度类="crayon-o">- - -<跨度类="crayon-o">- - -<跨度类="crayon-o">- - -<跨度类="crayon-o">+<跨度类="crayon-o">- - -<跨度类="crayon-o">- - -<跨度类="crayon-o">- - -<跨度类="crayon-o">- - -<跨度类="crayon-o">- - -<跨度类="crayon-o">- - -<跨度类="crayon-o">- - -<跨度类="crayon-o">- - - - - -
当地的<跨度类="crayon-h">
|<跨度类="crayon-h">
所有<跨度类="crayon-h">
|<跨度类="crayon-h">
所有<跨度类="crayon-h">
|<跨度类="crayon-h">
|<跨度类="crayon-h">
信任
主机<跨度类="crayon-h">
|<跨度类="crayon-h">
所有<跨度类="crayon-h">
|<跨度类="crayon-h">
所有<跨度类="crayon-h">
|<跨度类="crayon-h">
127.0.0.1<跨度类="crayon-o">/<跨度类="crayon-cn">32<跨度类="crayon-h">
|<跨度类="crayon-h">
信任
主机<跨度类="crayon-h">
|<跨度类="crayon-h">
postgres<跨度类="crayon-h">
|<跨度类="crayon-h">
postgres<跨度类="crayon-h">
|<跨度类="crayon-h">
192.168.1.1<跨度类="crayon-o">/<跨度类="crayon-cn">24<跨度类="crayon-h">
|<跨度类="crayon-h">
md5
主机<跨度类="crayon-h">
|<跨度类="crayon-h">
复制<跨度类="crayon-h">
|<跨度类="crayon-h">
postgres<跨度类="crayon-h">
|<跨度类="crayon-h">
127.0.0.1<跨度类="crayon-o">/<跨度类="crayon-cn">32<跨度类="crayon-h">
|<跨度类="crayon-h">
md5
|
第一列的“pg_hbaa.conf“文件“主机”。它可以是本地或主机。Unix-Domain插座的地方是固定的,在很多的情况下,您需要指定主机IP地址在地址栏。第二列是数据库,用于指定数据库名称。您可以设置基于数据库的身份验证方法,这意味着您的数据库可以有它自己的身份验证方法。如果这些值设置为all,那么所有的数据库将使用相同的身份验证方法。第三列是用户的文件,这意味着您可以为不同的用户设置不同的身份验证方法和“所有”意味着适用于所有用户。第四个参数是指定的IP地址,也就是说哪个IP地址可以使用身份验证方法。第二列是auth方法可以是任何的身份验证方法如图1所示。最后一列是auth-options,以防任何身份验证方法有一些选项。
信任和拒绝
当你指定身份验证方法信任满足要求,那么任何用户不需要任何密码。同样,在的情况下拒绝满足要求,任何用户不允许登录到系统中。这是信任和拒绝的例子:
|
1
2
3
4
|
主机<跨度类="crayon-h">
数据库<跨度类="crayon-h">
用户<跨度类="crayon-h">
地址<跨度类="crayon-h">
身份验证<跨度类="crayon-o">- - - - - -<跨度类="crayon-i">方法<跨度类="crayon-h">
(<跨度类="crayon-v">身份验证<跨度类="crayon-o">- - - - - -<跨度类="crayon-v">选项<跨度类="crayon-sy">]
- - -<跨度类="crayon-o">- - -<跨度类="crayon-o">- - -<跨度类="crayon-o">+<跨度类="crayon-o">- - -<跨度类="crayon-o">- - -<跨度类="crayon-o">- - -<跨度类="crayon-o">- - -<跨度类="crayon-o">- - -<跨度类="crayon-o">- - -<跨度类="crayon-o">- - -<跨度类="crayon-o">- - -<跨度类="crayon-o">- - - - - -<跨度类="crayon-o">+<跨度类="crayon-o">- - -<跨度类="crayon-o">- - -<跨度类="crayon-o">- - -<跨度类="crayon-o">- - -<跨度类="crayon-o">- - -<跨度类="crayon-o">- - -<跨度类="crayon-o">- - -<跨度类="crayon-o">- - -<跨度类="crayon-o">- - - - - -<跨度类="crayon-o">+<跨度类="crayon-o">- - -<跨度类="crayon-o">- - -<跨度类="crayon-o">- - -<跨度类="crayon-o">- - -<跨度类="crayon-o">- - -<跨度类="crayon-o">- - -<跨度类="crayon-o">- - -<跨度类="crayon-o">- - -<跨度类="crayon-o">+<跨度类="crayon-o">- - -<跨度类="crayon-o">- - -<跨度类="crayon-o">- - -<跨度类="crayon-o">- - -<跨度类="crayon-o">- - -<跨度类="crayon-o">- - -<跨度类="crayon-o">- - -<跨度类="crayon-o">- - -<跨度类="crayon-o">- - -<跨度类="crayon-o">- - -<跨度类="crayon-o">- - -<跨度类="crayon-o">- - -<跨度类="crayon-o">- - - - - -<跨度类="crayon-o">+<跨度类="crayon-o">- - -<跨度类="crayon-o">- - -<跨度类="crayon-o">- - -<跨度类="crayon-o">- - -<跨度类="crayon-o">- - -<跨度类="crayon-o">- - -<跨度类="crayon-o">- - -<跨度类="crayon-o">- - -<跨度类="crayon-o">- - -<跨度类="crayon-o">- - -
主机<跨度类="crayon-h">
|<跨度类="crayon-h">
所有<跨度类="crayon-h">
|<跨度类="crayon-h">
所有<跨度类="crayon-h">
|<跨度类="crayon-h">
127.0.0.1<跨度类="crayon-o">/<跨度类="crayon-cn">32<跨度类="crayon-h">
|<跨度类="crayon-h">
信任
主机<跨度类="crayon-h">
|<跨度类="crayon-h">
所有<跨度类="crayon-h">
|<跨度类="crayon-h">
所有<跨度类="crayon-h">
|<跨度类="crayon-h">
127.0.0.1<跨度类="crayon-o">/<跨度类="crayon-cn">32<跨度类="crayon-h">
|<跨度类="crayon-h">
拒绝
|
pg_hba。配置文件有两个条目;第一个身份验证方法的信任,第二个身份验证方法拒绝。本地主机的用户不再需要密码和许可没有密码登录到系统。但以外的任何计算机主机将被拒绝,因为pg_hba的第二行。conf文件。
信任的认证
|
1
2
3
4
|
postgres<跨度类="crayon-sy">@<跨度类="crayon-cn">127.0.01<跨度类="crayon-o">:<跨度类="crayon-o">~<跨度类="crayon-sy">美元<跨度类="crayon-h">
psql<跨度类="crayon-v">postgres<跨度类="crayon-h">
- - - - - -<跨度类="crayon-i">h<跨度类="crayon-h">
127.0.0.1<跨度类="crayon-h">
- - - - - -<跨度类="crayon-i">U<跨度类="crayon-h">
postgres
psql<跨度类="crayon-h">
(<跨度类="crayon-cn">12.4<跨度类="crayon-sy">)
类型<跨度类="crayon-h">
“帮助”<跨度类="crayon-h">
为<跨度类="crayon-h">
帮助<跨度类="crayon-sy">。
postgres<跨度类="crayon-o">=<跨度类="crayon-o">>
|
拒绝认证
|
1
2
3
|
postgres<跨度类="crayon-sy">@<跨度类="crayon-cn">10.0.2.2<跨度类="crayon-o">:<跨度类="crayon-o">~<跨度类="crayon-sy">美元<跨度类="crayon-h">
psql<跨度类="crayon-v">postgres<跨度类="crayon-h">
- - - - - -<跨度类="crayon-i">h<跨度类="crayon-h">
10.0.2.1<跨度类="crayon-h">
- - - - - -<跨度类="crayon-i">U<跨度类="crayon-h">
postgres
psql<跨度类="crayon-o">:<跨度类="crayon-h">
错误<跨度类="crayon-o">:<跨度类="crayon-h">
可以<跨度类="crayon-st">不<跨度类="crayon-h">
连接<跨度类="crayon-st">来<跨度类="crayon-h">
服务器<跨度类="crayon-o">:
致命的<跨度类="crayon-o">:<跨度类="crayon-h">
pg_hba<跨度类="crayon-e">. conf<跨度类="crayon-h">
拒绝<跨度类="crayon-e">连接<跨度类="crayon-st">为<跨度类="crayon-h">
主机<跨度类="crayon-h">
“10.0.2.2”<跨度类="crayon-sy">,<跨度类="crayon-h">
用户<跨度类="crayon-h">
“postgres”<跨度类="crayon-sy">,<跨度类="crayon-h">
数据库<跨度类="crayon-h">
“postgres”
|
md5
的md5认证,您需要提供密码。让我们看一个简单的例子。
|
1
2
3
|
主机<跨度类="crayon-h">
数据库<跨度类="crayon-h">
用户<跨度类="crayon-h">
地址<跨度类="crayon-h">
身份验证<跨度类="crayon-o">- - - - - -<跨度类="crayon-i">方法<跨度类="crayon-h">
(<跨度类="crayon-v">身份验证<跨度类="crayon-o">- - - - - -<跨度类="crayon-v">选项<跨度类="crayon-sy">]<跨度类="crayon-h">
- - -<跨度类="crayon-o">- - -<跨度类="crayon-o">- - -<跨度类="crayon-o">+<跨度类="crayon-o">- - -<跨度类="crayon-o">- - -<跨度类="crayon-o">- - -<跨度类="crayon-o">- - -<跨度类="crayon-o">- - -<跨度类="crayon-o">- - -<跨度类="crayon-o">- - -<跨度类="crayon-o">- - -<跨度类="crayon-o">- - - - - -<跨度类="crayon-o">+<跨度类="crayon-o">- - -<跨度类="crayon-o">- - -<跨度类="crayon-o">- - -<跨度类="crayon-o">- - -<跨度类="crayon-o">- - -<跨度类="crayon-o">- - -<跨度类="crayon-o">- - -<跨度类="crayon-o">- - -<跨度类="crayon-o">- - - - - -<跨度类="crayon-o">+<跨度类="crayon-o">- - -<跨度类="crayon-o">- - -<跨度类="crayon-o">- - -<跨度类="crayon-o">- - -<跨度类="crayon-o">- - -<跨度类="crayon-o">- - - - - -<跨度类="crayon-o">+<跨度类="crayon-o">- - -<跨度类="crayon-o">- - -<跨度类="crayon-o">- - -<跨度类="crayon-o">- - -<跨度类="crayon-o">- - -<跨度类="crayon-o">- - -<跨度类="crayon-o">- - -<跨度类="crayon-o">- - -<跨度类="crayon-o">- - -<跨度类="crayon-o">- - -<跨度类="crayon-o">- - -<跨度类="crayon-o">- - -<跨度类="crayon-o">- - - - - -<跨度类="crayon-o">+<跨度类="crayon-o">- - -<跨度类="crayon-o">- - -<跨度类="crayon-o">- - -<跨度类="crayon-o">- - -<跨度类="crayon-o">- - -<跨度类="crayon-o">- - -<跨度类="crayon-o">- - -<跨度类="crayon-o">- - -<跨度类="crayon-o">- - -<跨度类="crayon-o">- - -<跨度类="crayon-h">
主机<跨度类="crayon-h">
|<跨度类="crayon-h">
所有<跨度类="crayon-h">
|<跨度类="crayon-h">
所有<跨度类="crayon-h">
|<跨度类="crayon-h">
10.0.2.2<跨度类="crayon-o">/<跨度类="crayon-cn">32<跨度类="crayon-h">
|<跨度类="crayon-h">
md5
|
|
1
2
3
4
5
|
流浪的<跨度类="crayon-sy">@<跨度类="crayon-v">流浪的<跨度类="crayon-o">:<跨度类="crayon-o">~<跨度类="crayon-sy">美元<跨度类="crayon-h">
psql<跨度类="crayon-v">postgres<跨度类="crayon-h">
- - - - - -<跨度类="crayon-i">h<跨度类="crayon-h">
10.0.2.1<跨度类="crayon-h">
- - - - - -<跨度类="crayon-i">U<跨度类="crayon-h">
postgres
密码<跨度类="crayon-st">为<跨度类="crayon-h">
用户<跨度类="crayon-v">postgres<跨度类="crayon-o">:
psql<跨度类="crayon-h">
(<跨度类="crayon-cn">12.4<跨度类="crayon-sy">)
类型<跨度类="crayon-h">
“帮助”<跨度类="crayon-h">
为<跨度类="crayon-h">
帮助<跨度类="crayon-sy">。
postgres<跨度类="crayon-o">=<跨度类="crayon-o">>
|
急停
急停,或更具体地说,安全- sha - 256是一个质询-响应方案,防止不可信连接的密码嗅探。它是一种最安全的身份验证方法,使用安全,cryptographically-hashed安全、存储服务器上的密码。
步骤1:更改用户的密码
|
1
2
3
4
5
|
postgres<跨度类="crayon-o">=<跨度类="crayon-c">#设置password_encryption =“安全- sha - 256”;
集
postgres<跨度类="crayon-o">=<跨度类="crayon-c">#改变用户postgres密码“测试”;
改变<跨度类="crayon-v">角色
|
步骤2:改变pg_hba。conf文件。
|
1
2
3
|
主机<跨度类="crayon-h">
数据库<跨度类="crayon-h">
用户<跨度类="crayon-h">
地址<跨度类="crayon-h">
身份验证<跨度类="crayon-o">- - - - - -<跨度类="crayon-i">方法<跨度类="crayon-h">
(<跨度类="crayon-v">身份验证<跨度类="crayon-o">- - - - - -<跨度类="crayon-v">选项<跨度类="crayon-sy">]<跨度类="crayon-h">
- - -<跨度类="crayon-o">- - -<跨度类="crayon-o">- - -<跨度类="crayon-o">+<跨度类="crayon-o">- - -<跨度类="crayon-o">- - -<跨度类="crayon-o">- - -<跨度类="crayon-o">- - -<跨度类="crayon-o">- - -<跨度类="crayon-o">- - -<跨度类="crayon-o">- - -<跨度类="crayon-o">- - -<跨度类="crayon-o">- - - - - -<跨度类="crayon-o">+<跨度类="crayon-o">- - -<跨度类="crayon-o">- - -<跨度类="crayon-o">- - -<跨度类="crayon-o">- - -<跨度类="crayon-o">- - -<跨度类="crayon-o">- - -<跨度类="crayon-o">- - -<跨度类="crayon-o">- - -<跨度类="crayon-o">- - - - - -<跨度类="crayon-o">+<跨度类="crayon-o">- - -<跨度类="crayon-o">- - -<跨度类="crayon-o">- - -<跨度类="crayon-o">- - -<跨度类="crayon-o">- - -<跨度类="crayon-o">- - - - - -<跨度类="crayon-o">+<跨度类="crayon-o">- - -<跨度类="crayon-o">- - -<跨度类="crayon-o">- - -<跨度类="crayon-o">- - -<跨度类="crayon-o">- - -<跨度类="crayon-o">- - -<跨度类="crayon-o">- - -<跨度类="crayon-o">- - -<跨度类="crayon-o">- - -<跨度类="crayon-o">- - -<跨度类="crayon-o">- - -<跨度类="crayon-o">- - -<跨度类="crayon-o">- - - - - -<跨度类="crayon-o">+<跨度类="crayon-o">- - -<跨度类="crayon-o">- - -<跨度类="crayon-o">- - -<跨度类="crayon-o">- - -<跨度类="crayon-o">- - -<跨度类="crayon-o">- - -<跨度类="crayon-o">- - -<跨度类="crayon-o">- - -<跨度类="crayon-o">- - -<跨度类="crayon-o">- - -<跨度类="crayon-h">
主机<跨度类="crayon-h">
|<跨度类="crayon-h">
所有<跨度类="crayon-h">
|<跨度类="crayon-h">
所有<跨度类="crayon-h">
|<跨度类="crayon-h">
10.0.2.2<跨度类="crayon-o">/<跨度类="crayon-cn">32<跨度类="crayon-h">
|<跨度类="crayon-h">
<<跨度类="crayon-e">跨度<跨度类="crayon-t">类<跨度类="crayon-o">=<跨度类="crayon-s">“s1”<跨度类="crayon-o">><跨度类="crayon-v">急停<跨度类="crayon-o">- - - - - -<跨度类="crayon-v">沙<跨度类="crayon-o">- - - - - -<跨度类="crayon-cn">256年<跨度类="crayon-o"><<跨度类="crayon-o">/<跨度类="crayon-v">跨度<跨度类="crayon-o">>
|
步骤3:测试连接
|
1
2
3
4
5
|
美元<跨度类="crayon-h">
psql<跨度类="crayon-v">postgres<跨度类="crayon-h">
- - - - - -<跨度类="crayon-i">U<跨度类="crayon-h">
postgres
密码<跨度类="crayon-st">为<跨度类="crayon-h">
用户<跨度类="crayon-v">postgres<跨度类="crayon-o">:
psql<跨度类="crayon-h">
(<跨度类="crayon-cn">13.0<跨度类="crayon-sy">)
类型<跨度类="crayon-h">
“帮助”<跨度类="crayon-h">
为<跨度类="crayon-h">
帮助<跨度类="crayon-sy">。
|
雷竞技下载官网PostgreSQL Percona分布是免费下载和使用。它是最好的和最重要的企业级组件从开源社区,设计和测试一起工作在一个单一的来源。
CERT
服务器密钥和证书
第一步:生成服务器密钥
|
1
2
3
4
5
6
7
8
9
10
11
12
13
|
美元<跨度类="crayon-h">
openssl<跨度类="crayon-v">genrsa<跨度类="crayon-h">
- - - - - -<跨度类="crayon-v">des3<跨度类="crayon-h">
- - - - - -<跨度类="crayon-e">出<跨度类="crayon-v">服务器<跨度类="crayon-e">。key<跨度类="crayon-h">
1024年
生成<跨度类="crayon-e">RSA<跨度类="crayon-e">私人<跨度类="crayon-v">关键<跨度类="crayon-sy">,<跨度类="crayon-h">
1024年<跨度类="crayon-h">
位<跨度类="crayon-t">长<跨度类="crayon-h">
模量<跨度类="crayon-h">
(<跨度类="crayon-cn">2<跨度类="crayon-h">
质数<跨度类="crayon-sy">)
。<跨度类="crayon-o">+ +<跨度类="crayon-o">+ +<跨度类="crayon-o">+
。<跨度类="crayon-sy">。<跨度类="crayon-sy">。<跨度类="crayon-sy">。<跨度类="crayon-sy">。<跨度类="crayon-sy">。<跨度类="crayon-sy">。<跨度类="crayon-sy">。<跨度类="crayon-sy">。<跨度类="crayon-sy">。<跨度类="crayon-sy">。<跨度类="crayon-sy">。<跨度类="crayon-sy">。<跨度类="crayon-sy">。<跨度类="crayon-sy">。<跨度类="crayon-sy">。<跨度类="crayon-sy">。<跨度类="crayon-sy">。<跨度类="crayon-o">+ +<跨度类="crayon-o">+ +<跨度类="crayon-o">+
如ydF4y2Ba
是<跨度类="crayon-h">
65537年<跨度类="crayon-h">
(<跨度类="crayon-cn">0 x010001<跨度类="crayon-sy">)
输入<跨度类="crayon-e">通过<跨度类="crayon-e">短语<跨度类="crayon-st">为<跨度类="crayon-h">
服务器<跨度类="crayon-e">。key<跨度类="crayon-o">:
验证<跨度类="crayon-h">
- - - - - -<跨度类="crayon-h">
输入<跨度类="crayon-e">通过<跨度类="crayon-e">短语<跨度类="crayon-st">为<跨度类="crayon-h">
服务器<跨度类="crayon-e">。key<跨度类="crayon-o">:
美元<跨度类="crayon-h">
openssl<跨度类="crayon-v">rsa<跨度类="crayon-h">
- - - - - -<跨度类="crayon-st">在<跨度类="crayon-h">
服务器<跨度类="crayon-e">。key<跨度类="crayon-h">
- - - - - -<跨度类="crayon-e">出<跨度类="crayon-v">服务器<跨度类="crayon-e">。key
输入<跨度类="crayon-e">通过<跨度类="crayon-e">短语<跨度类="crayon-st">为<跨度类="crayon-h">
服务器<跨度类="crayon-e">。key<跨度类="crayon-o">:
写作<跨度类="crayon-e">RSA<跨度类="crayon-i">关键
美元<跨度类="crayon-h">
修改文件权限<跨度类="crayon-h">
噩<跨度类="crayon-o">- - - - - -<跨度类="crayon-e">特权<跨度类="crayon-v">服务器<跨度类="crayon-e">。key
|
步骤2:生成服务器证书
|
1
2
3
4
5
6
7
8
9
10
11
12
|
美元<跨度类="crayon-h">
openssl<跨度类="crayon-v">要求的事情<跨度类="crayon-h">
- - - - - -<跨度类="crayon-r">新<跨度类="crayon-h">
- - - - - -<跨度类="crayon-e">关键<跨度类="crayon-v">服务器<跨度类="crayon-e">。key<跨度类="crayon-h">
- - - - - -<跨度类="crayon-i">天<跨度类="crayon-h">
3650年<跨度类="crayon-h">
- - - - - -<跨度类="crayon-e">出<跨度类="crayon-v">服务器<跨度类="crayon-e">.crt<跨度类="crayon-h">
- - - - - -<跨度类="crayon-v">x509
- - -<跨度类="crayon-o">- - -<跨度类="crayon-o">- - - - - -
国家<跨度类="crayon-e">的名字<跨度类="crayon-h">
(<跨度类="crayon-cn">2<跨度类="crayon-h">
信<跨度类="crayon-v">代码<跨度类="crayon-sy">)<跨度类="crayon-h">
(<跨度类="crayon-v">非盟<跨度类="crayon-sy">]<跨度类="crayon-o">:<跨度类="crayon-e">PK
状态<跨度类="crayon-st">或<跨度类="crayon-h">
省<跨度类="crayon-e">的名字<跨度类="crayon-h">
(<跨度类="crayon-e">完整的<跨度类="crayon-v">的名字<跨度类="crayon-sy">)<跨度类="crayon-h">
(<跨度类="crayon-v">一些<跨度类="crayon-o">- - - - - -<跨度类="crayon-v">状态<跨度类="crayon-sy">]<跨度类="crayon-o">:<跨度类="crayon-e">自己的特色
位置<跨度类="crayon-e">的名字<跨度类="crayon-h">
(<跨度类="crayon-v">如<跨度类="crayon-sy">,<跨度类="crayon-h">
城市<跨度类="crayon-sy">)<跨度类="crayon-h">
(<跨度类="crayon-sy">]<跨度类="crayon-o">:<跨度类="crayon-e">伊斯兰堡
组织<跨度类="crayon-e">的名字<跨度类="crayon-h">
(<跨度类="crayon-v">如<跨度类="crayon-sy">,<跨度类="crayon-h">
公司<跨度类="crayon-sy">)<跨度类="crayon-h">
(<跨度类="crayon-e">互联网<跨度类="crayon-e">Widgits<跨度类="crayon-e">企业<跨度类="crayon-v">有限公司<跨度类="crayon-sy">]<跨度类="crayon-o">:<跨度类="crayon-e">雷竞技下载官网
组织<跨度类="crayon-e">单位<跨度类="crayon-e">的名字<跨度类="crayon-h">
(<跨度类="crayon-v">如<跨度类="crayon-sy">,<跨度类="crayon-h">
部分<跨度类="crayon-sy">)<跨度类="crayon-h">
(<跨度类="crayon-sy">]<跨度类="crayon-o">:<跨度类="crayon-e">Dev
常见的<跨度类="crayon-e">的名字<跨度类="crayon-h">
(<跨度类="crayon-v">如ydF4y2Ba
。g<跨度类="crayon-sy">。<跨度类="crayon-h">
服务器<跨度类="crayon-e">FQDN<跨度类="crayon-st">或<跨度类="crayon-h">
你的<跨度类="crayon-v">的名字<跨度类="crayon-sy">)<跨度类="crayon-h">
(<跨度类="crayon-sy">]<跨度类="crayon-o">:<跨度类="crayon-e">本地主机
电子邮件<跨度类="crayon-i">地址<跨度类="crayon-h">
(<跨度类="crayon-sy">]<跨度类="crayon-o">:<跨度类="crayon-v">ibrar<跨度类="crayon-e">.ahmad<跨度类="crayon-sy">@<跨度类="crayon-v">Gmail<跨度类="crayon-e">com<跨度类="crayon-h">
美元<跨度类="crayon-h">
cp<跨度类="crayon-h">
服务器<跨度类="crayon-e">.crt<跨度类="crayon-h">
根<跨度类="crayon-e">.crt
|
客户端密钥和证书
第三步:生成一个客户机证书
|
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20.
21
22
23
24
25
26
27
28
29日
|
美元<跨度类="crayon-h">
openssl<跨度类="crayon-v">genrsa<跨度类="crayon-h">
- - - - - -<跨度类="crayon-v">des3<跨度类="crayon-h">
- - - - - -<跨度类="crayon-v">出<跨度类="crayon-h">
/<跨度类="crayon-v">tmp<跨度类="crayon-o">/<跨度类="crayon-v">postgresql<跨度类="crayon-e">。key<跨度类="crayon-h">
1024年
生成<跨度类="crayon-e">RSA<跨度类="crayon-e">私人<跨度类="crayon-v">关键<跨度类="crayon-sy">,<跨度类="crayon-h">
1024年<跨度类="crayon-h">
位<跨度类="crayon-t">长<跨度类="crayon-h">
模量<跨度类="crayon-h">
(<跨度类="crayon-cn">2<跨度类="crayon-h">
质数<跨度类="crayon-sy">)
。<跨度类="crayon-sy">。<跨度类="crayon-sy">。<跨度类="crayon-sy">。<跨度类="crayon-sy">。<跨度类="crayon-sy">。<跨度类="crayon-sy">。<跨度类="crayon-sy">。<跨度类="crayon-sy">。<跨度类="crayon-sy">。<跨度类="crayon-sy">。<跨度类="crayon-sy">。<跨度类="crayon-sy">。<跨度类="crayon-sy">。<跨度类="crayon-sy">。<跨度类="crayon-sy">。<跨度类="crayon-sy">。<跨度类="crayon-sy">。<跨度类="crayon-sy">。<跨度类="crayon-sy">。<跨度类="crayon-sy">。<跨度类="crayon-sy">。<跨度类="crayon-sy">。<跨度类="crayon-sy">。<跨度类="crayon-sy">。<跨度类="crayon-sy">。<跨度类="crayon-o">+ +<跨度类="crayon-o">+ +<跨度类="crayon-o">+
。<跨度类="crayon-sy">。<跨度类="crayon-sy">。<跨度类="crayon-sy">。<跨度类="crayon-sy">。<跨度类="crayon-sy">。<跨度类="crayon-sy">。<跨度类="crayon-sy">。<跨度类="crayon-sy">。<跨度类="crayon-sy">。<跨度类="crayon-sy">。<跨度类="crayon-sy">。<跨度类="crayon-sy">。<跨度类="crayon-sy">。<跨度类="crayon-sy">。<跨度类="crayon-sy">。<跨度类="crayon-sy">。<跨度类="crayon-sy">。<跨度类="crayon-sy">。<跨度类="crayon-sy">。<跨度类="crayon-sy">。<跨度类="crayon-sy">。<跨度类="crayon-sy">。<跨度类="crayon-sy">。<跨度类="crayon-sy">。<跨度类="crayon-sy">。<跨度类="crayon-sy">。<跨度类="crayon-sy">。<跨度类="crayon-sy">。<跨度类="crayon-sy">。<跨度类="crayon-sy">。<跨度类="crayon-sy">。<跨度类="crayon-sy">。<跨度类="crayon-sy">。<跨度类="crayon-sy">。<跨度类="crayon-sy">。<跨度类="crayon-sy">。<跨度类="crayon-sy">。<跨度类="crayon-sy">。<跨度类="crayon-sy">。<跨度类="crayon-sy">。<跨度类="crayon-sy">。<跨度类="crayon-sy">。<跨度类="crayon-sy">。<跨度类="crayon-sy">。<跨度类="crayon-sy">。<跨度类="crayon-sy">。<跨度类="crayon-sy">。<跨度类="crayon-sy">。<跨度类="crayon-sy">。<跨度类="crayon-sy">。<跨度类="crayon-sy">。<跨度类="crayon-sy">。<跨度类="crayon-o">+ +<跨度类="crayon-o">+ +<跨度类="crayon-o">+
如ydF4y2Ba
是<跨度类="crayon-h">
65537年<跨度类="crayon-h">
(<跨度类="crayon-cn">0 x010001<跨度类="crayon-sy">)
输入<跨度类="crayon-e">通过<跨度类="crayon-e">短语<跨度类="crayon-st">为<跨度类="crayon-h">
/<跨度类="crayon-v">tmp<跨度类="crayon-o">/<跨度类="crayon-v">postgresql<跨度类="crayon-e">。key<跨度类="crayon-o">:
验证<跨度类="crayon-h">
- - - - - -<跨度类="crayon-h">
输入<跨度类="crayon-e">通过<跨度类="crayon-e">短语<跨度类="crayon-st">为<跨度类="crayon-h">
/<跨度类="crayon-v">tmp<跨度类="crayon-o">/<跨度类="crayon-v">postgresql<跨度类="crayon-e">。key<跨度类="crayon-o">:
美元<跨度类="crayon-h">
openssl<跨度类="crayon-v">rsa<跨度类="crayon-h">
- - - - - -<跨度类="crayon-st">在<跨度类="crayon-h">
/<跨度类="crayon-v">tmp<跨度类="crayon-o">/<跨度类="crayon-v">postgresql<跨度类="crayon-e">。key<跨度类="crayon-h">
- - - - - -<跨度类="crayon-v">出<跨度类="crayon-h">
/<跨度类="crayon-v">tmp<跨度类="crayon-o">/<跨度类="crayon-v">postgresql<跨度类="crayon-e">。key
输入<跨度类="crayon-e">通过<跨度类="crayon-e">短语<跨度类="crayon-st">为<跨度类="crayon-h">
/<跨度类="crayon-v">tmp<跨度类="crayon-o">/<跨度类="crayon-v">postgresql<跨度类="crayon-e">。key<跨度类="crayon-o">:
写作<跨度类="crayon-e">RSA<跨度类="crayon-i">关键
美元<跨度类="crayon-h">
openssl<跨度类="crayon-v">要求的事情<跨度类="crayon-h">
- - - - - -<跨度类="crayon-r">新<跨度类="crayon-h">
- - - - - -<跨度类="crayon-v">关键<跨度类="crayon-h">
/<跨度类="crayon-v">tmp<跨度类="crayon-o">/<跨度类="crayon-v">postgresql<跨度类="crayon-e">。key<跨度类="crayon-h">
- - - - - -<跨度类="crayon-v">出<跨度类="crayon-h">
/<跨度类="crayon-v">tmp<跨度类="crayon-o">/<跨度类="crayon-v">postgresql<跨度类="crayon-e">csr
- - -<跨度类="crayon-o">- - -<跨度类="crayon-o">- - - - - -
国家<跨度类="crayon-e">的名字<跨度类="crayon-h">
(<跨度类="crayon-cn">2<跨度类="crayon-h">
信<跨度类="crayon-v">代码<跨度类="crayon-sy">)<跨度类="crayon-h">
(<跨度类="crayon-v">非盟<跨度类="crayon-sy">]<跨度类="crayon-o">:<跨度类="crayon-e">PK
状态<跨度类="crayon-st">或<跨度类="crayon-h">
省<跨度类="crayon-e">的名字<跨度类="crayon-h">
(<跨度类="crayon-e">完整的<跨度类="crayon-v">的名字<跨度类="crayon-sy">)<跨度类="crayon-h">
(<跨度类="crayon-v">一些<跨度类="crayon-o">- - - - - -<跨度类="crayon-v">状态<跨度类="crayon-sy">]<跨度类="crayon-o">:<跨度类="crayon-e">自己的特色
位置<跨度类="crayon-e">的名字<跨度类="crayon-h">
(<跨度类="crayon-v">如<跨度类="crayon-sy">,<跨度类="crayon-h">
城市<跨度类="crayon-sy">)<跨度类="crayon-h">
(<跨度类="crayon-sy">]<跨度类="crayon-o">:<跨度类="crayon-e">伊斯兰堡
组织<跨度类="crayon-e">的名字<跨度类="crayon-h">
(<跨度类="crayon-v">如<跨度类="crayon-sy">,<跨度类="crayon-h">
公司<跨度类="crayon-sy">)<跨度类="crayon-h">
(<跨度类="crayon-e">互联网<跨度类="crayon-e">Widgits<跨度类="crayon-e">企业<跨度类="crayon-v">有限公司<跨度类="crayon-sy">]<跨度类="crayon-o">:<跨度类="crayon-e">雷竞技下载官网
组织<跨度类="crayon-e">单位<跨度类="crayon-e">的名字<跨度类="crayon-h">
(<跨度类="crayon-v">如<跨度类="crayon-sy">,<跨度类="crayon-h">
部分<跨度类="crayon-sy">)<跨度类="crayon-h">
(<跨度类="crayon-sy">]<跨度类="crayon-o">:<跨度类="crayon-e">Dev
常见的<跨度类="crayon-e">的名字<跨度类="crayon-h">
(<跨度类="crayon-v">如ydF4y2Ba
。g<跨度类="crayon-sy">。<跨度类="crayon-h">
服务器<跨度类="crayon-e">FQDN<跨度类="crayon-st">或<跨度类="crayon-h">
你的<跨度类="crayon-v">的名字<跨度类="crayon-sy">)<跨度类="crayon-h">
(<跨度类="crayon-sy">]<跨度类="crayon-o">:<跨度类="crayon-cn">127.0.0.1
电子邮件<跨度类="crayon-i">地址<跨度类="crayon-h">
(<跨度类="crayon-sy">]<跨度类="crayon-o">:<跨度类="crayon-v">ibrar<跨度类="crayon-e">.ahmad<跨度类="crayon-sy">@<跨度类="crayon-v">Gmail<跨度类="crayon-e">com
请<跨度类="crayon-e">输入<跨度类="crayon-e">的<跨度类="crayon-i">后<跨度类="crayon-h">
“额外的”<跨度类="crayon-h">
属性
来<跨度类="crayon-h">
是<跨度类="crayon-e">发送<跨度类="crayon-e">与<跨度类="crayon-e">你的<跨度类="crayon-e">证书<跨度类="crayon-i">请求
一个<跨度类="crayon-h">
挑战<跨度类="crayon-i">密码<跨度类="crayon-h">
(<跨度类="crayon-sy">]<跨度类="crayon-o">:<跨度类="crayon-e">巴基斯坦
一个<跨度类="crayon-e">可选<跨度类="crayon-e">公司<跨度类="crayon-i">的名字<跨度类="crayon-h">
(<跨度类="crayon-sy">]<跨度类="crayon-o">:<跨度类="crayon-v">雷竞技下载官网
|
第四步:复制根。crt到客户机。
|
1
|
美元<跨度类="crayon-h">
cp<跨度类="crayon-h">
PGDATA美元<跨度类="crayon-o">/<跨度类="crayon-v">根<跨度类="crayon-e">.crt<跨度类="crayon-h">
/<跨度类="crayon-v">tmp<跨度类="crayon-o">/
|
PostgreSQL的设置
第五步:在postgrsql。配置文件设置ssl =
|
1
2
3
4
5
|
# - SSL
ssl<跨度类="crayon-h">
=<跨度类="crayon-h">
在
# ssl_ca_file = "
# ssl_cert_file = ' server.crt '
|
第六步:重启PostgreSQL
|
1
|
pg_ctl<跨度类="crayon-v">重新启动
|
连接
现在,所有设置,您可以使用psql命令测试连接。
|
1
2
3
4
5
|
美元<跨度类="crayon-h">
psql<跨度类="crayon-h">
“主机=本地主机端口= postgres用户=的流浪汉sslmode = = 5432 dbname verify-full sslcert = / tmp / postgresql。crt sslkey = / tmp / postgresql。关键sslrootcert = / tmp /根。crt'
psql<跨度类="crayon-h">
(<跨度类="crayon-cn">13.0<跨度类="crayon-sy">)
SSL<跨度类="crayon-e">连接<跨度类="crayon-h">
(<跨度类="crayon-v">协议<跨度类="crayon-o">:<跨度类="crayon-h">
TLSv1<跨度类="crayon-sy">。<跨度类="crayon-cn">3<跨度类="crayon-sy">,<跨度类="crayon-h">
密码<跨度类="crayon-o">:<跨度类="crayon-h">
TLS_AES_256_GCM_SHA384<跨度类="crayon-sy">,<跨度类="crayon-h">
位<跨度类="crayon-o">:<跨度类="crayon-h">
256年<跨度类="crayon-sy">,<跨度类="crayon-h">
压缩<跨度类="crayon-o">:<跨度类="crayon-h">
从<跨度类="crayon-sy">)
类型<跨度类="crayon-h">
“帮助”<跨度类="crayon-h">
为<跨度类="crayon-h">
帮助<跨度类="crayon-sy">。
postgres<跨度类="crayon-o">=<跨度类="crayon-c">#
|
结论
本系列的第二部分安全博客,和第一篇博文,我们看到安全我们需要考虑的主要特点。在这个博客中,我们开始验证,只集中在PostgreSQL验证机制,仍然需要在PostgreSQL看到外部身份验证方法是如何工作的。请继续关注!
雷竞技下载官网Percona分布PostgreSQL提供最好的和最重要的开源社区的企业组件,在一个单一的分布,设计和测试一起工作。
谢谢你的文章,很好,帮助了很多更好的理解不同的方法用于内部身份验证。我只是困惑在示例中使用的“信任和拒绝”部分;不是“拒绝”pg_hba线。配置错了吗?还是我遗漏了什么东西?我认为pg_hba。配置文件PostgreSQL永远不会达到第二行,因为它总是允许连接使用第一行从localhost。
谢谢!
谢谢,是的这是错误拒绝线
10.0.2.2/32 |拒绝