PostgreSQL中常见的14个用户安全配置

数据和云

发布于 2020-07-08 14:20:20

2K0

发布于 2020-07-08 14:20:20

文章被收录于专栏：数据和云数据和云

墨墨导读：本文主要介绍PostgreSQL数据库中一些常见用户安全配置。

1. 限制用户连接数

max_connections根据应用并发量设置合理的值，对普通数据库用户设置限制连接数，并设置少量的保留超级用户登录连接数。

postgres=# create user app1 connection limit 5;CREATE ROLE

2. 修改默认端口

建议修改默认5432端口。

postgres=# select * from current_setting('port'); current_setting----------------- 6000(1 row)

3. 不使用默认postgres数据库

建议新建数据库后删除默认的postgres数据库

postgres=# create database my_app_db owner app1;CREATE DATABASEpostgres=# \c my_app_dbYou are now connected to database "my_app_db" as user "postgres".my_app_db=# drop database postgres;DROP DATABASE

4. 自定义超级用户

建议删除默认超级用户postgres，新建不同名称超级用户，也可再initdb时使用-U指定。

$ initdb -D /opt/data6000/ -U admin -W

5. 修改监听地址

根据业务场景设置，比如设置为localhost或服务器IP。

#listen_addresses = 'localhost'#listen_addresses = '192.168.99.100'#listen_addresses = '192.168.99.100,192.168.99.200'

6. 配置客户端认证

参考配置如下

# 服务端本地数据库用户免密登录local      all   all       trust# 拒绝超级用户从网络登录host      all   postgres  0.0.0.0/0     reject# 其它用户密码验证登陆host      all   all      0.0.0.0/0  scram-sha-256# 流复制用户密码验证登录host      replication  replica  192.168.99.101/32     md5

7. 设置socket访问方式

参考配置如下

unix_socket_directories='$PGDATA'unix_socket_group=''unix_socket_permissions='0700'

8. 使用pgpass文件

linux和window都建议使用pgpass文件

Linux$ cat .pgpass192.168.99.200:5432:postgres:postgres:admin192.168.99.227:6432:*:app1:yourPassword
win10C:\Users\pcsuc\AppData\Roaming\postgresql\pgpass.conflocalhost:5432:*:postgres:admin192.168.99.227:6432:*:app1:yourPassword