DevOps知识中心
DevOps知识中心

保护您的 PostgreSQL 数据库安全的必备配置设置

本指南详细介绍了强化 PostgreSQL 安全的必备配置设置。了解如何使用 `pg_hba.conf`(SCRAM-SHA-256)强制执行现代身份验证,实施强制性的 SSL/TLS 加密,并通过限制网络监听器来最小化攻击面。这对于生产环境的稳定性和合规性至关重要。

36 浏览量

保护您的PostgreSQL数据库的关键配置设置

保护PostgreSQL数据库对于保护敏感数据和确保合规性至关重要。作为一种先进的开源关系型数据库,PostgreSQL提供了强大的配置机制来控制访问、加密通信并最大程度地减少潜在漏洞。本指南将深入探讨在生产环境中建立强化安全态势所需的关键配置文件和参数。

有效的PostgreSQL安全性依赖于两大支柱:控制可以连接以及如何连接。我们将探索postgresql.conf中的重要设置和关键的客户端认证文件pg_hba.conf,同时实施强制性的SSL/TLS加密。

1. 使用pg_hba.conf强化客户端认证

基于主机的认证文件(pg_hba.conf)规定了哪些主机可以连接、它们可以作为哪些PostgreSQL用户连接、可以访问哪些数据库,以及最重要的是,该连接所需的认证方法。

理解pg_hba.conf的结构

pg_hba.conf中的每一行都遵循特定的格式:

TYPE DATABASE USER ADDRESS METHOD [OPTIONS]

  • TYPE:连接类型(例如,localhosthostnosslhostssl)。
  • DATABASE:目标数据库名称。
  • USER:目标数据库角色。
  • ADDRESS:客户端IP地址范围。
  • METHOD:认证机制(例如,scram-sha-256md5rejecttrust)。

认证方法的最佳实践

在生产环境中切勿使用trust方法,因为它允许任何符合连接条件的用户无需密码即可连接。推荐的现代认证方法是:

推荐:scram-sha-256

SCRAM(Salted Challenge Response Authentication Mechanism,加盐挑战响应认证机制)通过使用更强的哈希算法和防止重放攻击,比md5等旧密码方法有了显著改进。这应该是您远程连接的默认选择。

# Enforce SCRAM for all remote connections on port 5432
host    all     all     0.0.0.0/0       scram-sha-256

本地连接

对于源自服务器本身的连接(例如,在同一机器上运行的应用程序),请使用本地套接字。如果套接字被禁用或受限,最安全的设置通常是peer(适用于Unix域套接字)或scram-sha-256

# Use peer authentication for local connections via Unix socket
local   all     all             peer

明确拒绝连接

使用reject方法明确阻止来自危险或不受信任网络的连接。

# Block all connections from a known insecure IP range
host    all     all     192.168.1.0/24  reject

实用提示: 修改pg_hba.conf后,您必须重新加载配置才能使更改生效(例如,pg_ctl reload或向postmaster进程发送SIGHUP信号)。

2. 实施SSL/TLS加密

为了防止敏感数据(包括密码)在网络上传输时被拦截,强制对所有远程连接使用SSL/TLS加密是强制性的。

postgresql.conf中的配置

请确保在您的主配置文件中正确设置这些参数:

  • ssl = on:全局启用SSL支持。
  • ssl_cert_file:服务器证书文件的路径(例如,server.crt)。
  • ssl_key_file:服务器私钥文件的路径(例如,server.key)。

pg_hba.conf中强制使用SSL

要强制客户端使用SSL,请在pg_hba.conf中将连接类型从host更改为hostssl

# Only allow connections via SSL/TLS
hostssl all     all     0.0.0.0/0       scram-sha-256

如果您有不支持SSL的旧版客户端,您可以明确允许非SSL连接,但将其限制为仅非敏感操作,尽管首选是完全拒绝。

3. 最小化攻击面

安全性涉及减少数据库服务器暴露于外部威胁的程度。这主要通过网络配置和禁用不必要的功能来管理。

限制网络监听地址

默认情况下,PostgreSQL可能会监听所有网络接口(listen_addresses = '*')。为了增强安全性,请明确将其配置为仅监听需要外部访问的特定接口,或者如果只有本地应用程序连接,则监听localhost

postgresql.conf中:

# Listen only on localhost (127.0.0.1) if possible
listen_addresses = 'localhost'

# OR, listen only on a specific private network interface
# listen_addresses = '192.168.1.10'

安全警告: 如果listen_addresses设置为*,将使用所有接口。请确保pg_hba.conf严格控制哪些IP范围可以连接。

禁用不必要的扩展和功能

每个启用的扩展都会增加潜在的复杂性和攻击向量。定期审计已安装的扩展,并删除任何未用于生产工作负载的扩展。这可以最大程度地减少整体攻击面。

密码安全和角色

确保所有管理角色(例如默认的postgres用户)都使用ALTER USER设置了强大、复杂的密码:

ALTER USER postgres WITH PASSWORD 'YourStrongAndComplexPassword123!';

遵循最小权限原则:应用程序用户应仅对其所需的特定表具有SELECTINSERTUPDATEDELETE权限,而不是超级用户权限。

4. 审计和日志配置

虽然不严格属于访问控制机制,但强大的日志记录对于检测和调查安全事件至关重要。在postgresql.conf中配置日志参数以捕获相关事件。

安全审计的关键设置:

  • log_statement = 'ddl''all':记录所有数据定义语言(DDL)命令(例如CREATE TABLEALTER USER)。在安全审查期间可以暂时设置为'all',但请注意对性能的影响。
  • log_connections = on:记录每次成功的连接尝试。
  • log_disconnections = on:记录客户端断开连接的时间。
  • log_duration = on:记录所有语句的执行时间,这有时可以揭示异常活动模式。

通过结合pg_hba.conf中的严格访问规则、通过SSL强制加密、受限的监听地址以及全面的日志记录,您可以为保护您的PostgreSQL部署奠定坚实的基础。

关键安全步骤总结

  1. 更新pg_hba.conf:使用scram-sha-256peer作为认证方法。
  2. 强制加密:在postgresql.conf中设置ssl = on,并在pg_hba.conf中使用hostssl条目。
  3. 限制监听:将listen_addresses配置为仅必要的接口,如果可能,避免使用默认的*
  4. 实施最小权限:将数据库角色限制为仅执行其功能绝对需要的权限。
  5. 重新加载配置:修改安全文件后,务必重新加载或重启PostgreSQL以应用更改。