PostgreSQL數(shù)據(jù)庫安全加固
數(shù)據(jù)已經(jīng)成為了一個企業(yè)發(fā)展的基石��,數(shù)據(jù)的安全至關(guān)重要�����,近年來,發(fā)生了多起,數(shù)據(jù)被刪除的案例。因此數(shù)據(jù)庫的安全策略相當(dāng)重要,本文列舉了一些常見的安全加固方法���。
1、設(shè)置PostgreSQL數(shù)據(jù)庫實例的最大連接數(shù),并給超級用戶預(yù)留足夠的連接
Alter system set max_connections to 2000; Alter system set superuser_reserved_connections to 20; 注意:普通用戶的最大連接數(shù)實際為:2000-20 =1980�;參數(shù)修改后����,需要重啟數(shù)據(jù)庫生效 |
2���、為數(shù)據(jù)庫設(shè)置最大允許的連接數(shù)
Alter database dbname with connection limit 1000; |
3��、修改數(shù)據(jù)庫實例的默認(rèn)監(jiān)聽端口
查看PG使用的監(jiān)聽端口:  設(shè)置數(shù)據(jù)庫監(jiān)聽端口:
Alter system set port to 6789;//注意需要使用超級用戶修改��,重啟生效 |
4、為應(yīng)用用戶設(shè)置最大連接數(shù)
Max_connections設(shè)置PG實例的最大連接數(shù)�,還可以為多帶帶用戶設(shè)置最大連接數(shù) Create user weiqiang password ‘weiqiang’ connection limit 300; 或者 Alter user weiqiang wiyh connection limit 300; |
5���、自定義PG超級管理員
在初始化數(shù)據(jù)庫時����,指定超級管理員: 
|
6���、設(shè)置用戶角色的密碼的導(dǎo)入日期
嘗試進(jìn)行登錄報錯信息如下: 
|
7��、不使用默認(rèn)的postgres數(shù)據(jù)庫
在數(shù)據(jù)庫集群初始化完畢后,不建議保留postgres數(shù)據(jù)�����,建議使用一個新的空的數(shù)據(jù)庫進(jìn)行代替�����,避免人為非法嘗試登錄默認(rèn)數(shù)據(jù)庫: Create database empty_used; c empty_used Drop database postgres; |
8��、修改用戶的默認(rèn)密碼加密方式
新版本數(shù)據(jù)庫建議用戶密碼加密方式設(shè)置為scram-sha-256 修改用戶加密方式 
或者在數(shù)據(jù)庫實例初始化時指定密碼加密方式: Initdb -A scram-sha-256 或者 Alter system set password_encryption to ‘scram-sha-256’; |
9、設(shè)置PostgreSQL實例的監(jiān)聽地址
PostgreSQL監(jiān)聽地址默認(rèn)為localhost�����,不建議使用*或0.0.0.0 建議修改為:應(yīng)用的ip地址 Alter system set listen_addresses to ‘192.168.21.142,192,168.21.144’;重啟生效 |
10�����、配置pg_hba.conf客戶端認(rèn)證
Local all all scram-sha-256 ##本地登錄使用密碼驗證�,禁止設(shè)置為trust認(rèn)證 Host all postgres 0.0.0.0/0 reject ##禁止超級用戶遠(yuǎn)程登錄 Host all all 192.168.21.142/32 scram-sha-256 Host replication repuser 192.168.21.144/32 scram-sha-256 |
11��、設(shè)置用戶密碼復(fù)雜度策略不建議用戶和密碼相同����;建議使用大小寫字母及特殊字符混合����,且不能小于一定的長度。建議使用passwordcheck進(jìn)行密碼復(fù)雜度檢查。在CREATE USER或ALTER USER設(shè)置用戶密碼時會自動觸發(fā)密碼復(fù)雜度檢查。 Vi $PGDATA/postgresql.conf Shared_preload_libraries=’passwordcheck’; Passwordcheck.level=’true’; 舉例: 
|
12�����、用戶權(quán)限設(shè)置用戶權(quán)限設(shè)置原則:應(yīng)用用戶權(quán)限越小越好;夠用就好 建議1:數(shù)據(jù)庫刪除public模式����,或者回收所有用戶擁有的public模式的權(quán)限 Revoke all privileges on schema public from PUBLIC; 建議2:設(shè)置應(yīng)用用戶的search_path to ‘a(chǎn)pp_user_schema’;不建議將該shema的所有權(quán)限授予引用用戶 |
13、設(shè)置idle_in_transaction_session_timeout參數(shù),避免長時間的空閑未提交的事務(wù)導(dǎo)致表膨脹14���、建議設(shè)置statement_timeout參數(shù),避免SQL執(zhí)行時間過長����,占用過多資源���,建議在會話中設(shè)置15��、建議安裝pg_stat_statements插件,捕捉性能低下的SQL進(jìn)行優(yōu)化����,提高系統(tǒng)響應(yīng)��。16、PostgreSQL數(shù)據(jù)庫版本每個季度發(fā)行一個小版本�����,因此相關(guān)BUG��、漏洞會較快的修復(fù)�����,建議根據(jù)需要定期進(jìn)行版本升級。
文章版權(quán)歸作者所有,未經(jīng)允許請勿轉(zhuǎn)載,若此文章存在違規(guī)行為,您可以聯(lián)系管理員刪除。
轉(zhuǎn)載請注明本文地址:http://m.specialneedsforspecialkids.com/yun/129955.html
