• 售前

  • 售后

热门帖子
入门百科

浅谈PostgreSQL的客户端认证pg_hba.conf

[复制链接]
123457067 显示全部楼层 发表于 2021-10-26 13:52:40 |阅读模式 打印 上一主题 下一主题
各人都知道防火墙重要是用来过滤客户端并保护服务器不被恶意访问攻击,那在pg中同样存在一个雷同于防火墙的工具用来控制客户端的访问,也就是pg_hba.conf这个东东。
在initdb初始化数据文件时,默认提供pg_hba.conf. 通过设置该文件,能够指定哪些ip可以访问,哪些ip不可以访问,以及访问的资源和认证方式,该文件雷同于oracle中的监听中的白名单黑名单功能,且同样可以reload在线见效。
记载可以是下面七种格式之一:
  1. local database user auth-method [auth-options]
  2. host database user address auth-method [auth-options]
  3. hostssl database user address auth-method [auth-options]
  4. hostnossl database user address auth-method [auth-options]
  5. host database user IP-address IP-mask auth-method [auth-options]
  6. hostssl database user IP-address IP-mask auth-method [auth-options]
  7. hostnossl database user IP-address IP-mask auth-method [auth-options]
复制代码
各个域的寄义如下:

各个范例简朴描述如下:
  1. local
复制代码
一般为本地socket毗连。如果没有这种范例的记载,就不允许 Unix 域套接字毗连。
  1. host
复制代码
这条记载匹配筹划使用 TCP/IP 创建的毗连。host记载匹配SSL和非SSL的毗连实验。
  1. database
复制代码
登录时指定的数据库,all匹配全部数据库;留意pg是单实例多database范例.
  1. user
复制代码
登录时指定的数据库用户名,all匹配全部用户
  1. address
复制代码
指定这个记载匹配的客户端机器地址。这个域可以包含一个主机名、一个 IP 地址范围或下文提到的特殊关键字之一。 比如 网络地址(172.20.143.0/24)以及分别指定ip以及掩码.
  1. authentication method
复制代码
客户端接纳的认证方式,比如trust为无条件地允许联接;reject为无条件拒绝毗连;password为明文密码验证; md5密文密码验证等
如下为几种计谋(entry)设置的简朴描述:
  1. TYPE DATABASE USER ADDRESS METHOD
  2. local all all trust
复制代码
该认证方式为本地local socket方式验证,且无条件担当毗连.
  1. TYPE DATABASE USER ADDRESS METHOD
  2. host all all 127.0.0.1/32 trust
复制代码
该认证方式为允许host(本地 127.0.0.1)举行访问且无条件担当毗连.
  1. TYPE DATABASE USER ADDRESS METHOD
  2. host postgres all 192.168.93.0/24 md5
复制代码
该认证方式为允许192.168.93网段的客户端全部用户访问postgres数据库
  1. TYPE DATABASE USER IPADDRES IPMASK METHOD
  2. host dbinst1 user1 192.168.93.21 255.255.255.0 md5
复制代码
该认证方式为允许192.168.93.21的客户端以user1用户访问dbinst1数据库
通过一番文字描述,最后在来个实际使用,如下案例中可以发现未设置pg_hba.conf计谋(entry) 则在实验访问pg时会主动提示无匹配的pg_hba.conf entry.通过设置entry并reload后,客户端便可正常访问pg.这个entry雷同于防火墙中设置的逐条计谋。

留意虽然pg_bha.conf起到了一部门的客户端访问控制的作用,但是数据库实例层仍旧必要做好对应权限控制,比如上文案例中已提前授予user1对dbinst1数据库的connect权限,客户端才可以正常登岸数据库.
总结一下pg_hba.conf就是雷同于oracle的好坏名单功能的过滤器.
增补:从pg_hba.conf文件谈谈postgresql的毗连认证
近来不绝在弄postgresql的东西,搭建postgresql数据库集群环境什么的。使用数据库少不得要从远程主机访问数据库环境,比方数据库管理员的远程管理数据库,远程的客户存取数据库文件。
而在postgresql中设置文件pg_hba.conf就是用来设置访问认证的告急文件。这里重点谈谈pg_hba.conf这个文件。
起首声明,本文分析的内容基于postgresql的9.5.4版本,大概和某些低版本的分析有收支,这是postgresql官方本身更新的,如果想看低版本的,可以本身检察下那个对应版本的用户手册。
1.pg_hba.conf文件

在pg_hba.conf文件中,每条记载占一行,指定一条访问认证规则。
总的来说访问控制记载大致有以下7种情势:
  1. local  database user auth-method [auth-options]
  2. host  database user address auth-method [auth-options]
  3. hostssl database user address auth-method [auth-options]
  4. hostnossl database user address auth-method [auth-options]
  5. host  database user IP-address IP-mask auth-method [auth-options]
  6. hostssl database user IP-address IP-mask auth-method [auth-options]
  7. hostnossl database user IP-address IP-mask auth-method [auth-options]
复制代码
下面临每个字段分别举行分析。
毗连方式(type)

毗连方式有四种:local 、host、hostssl、hostnossl
  1. local
复制代码
这条记载匹配通过 Unix 域套接字举行的联接筹划, 没有这种范例的记载,就不允许 Unix 域套接字的联接。
  1. host
复制代码
这条记载匹配通过TCP/IP网络举行的联接实验.他既匹配通过ssl方式的毗连,也匹配通过非ssl方式的毗连。
留意:要使用该选项你要在postgresql.conf文件里设置listen_address选项,不在listen_address里的IP地址是无法匹配到的。由于默认的举动是只在localhost上监听本地毗连。
  1. hostssl
复制代码
这条记载匹配通过在TCP/IP上举行的SSL联接筹划。
要使用该选项,服务器编译时必须使用--with-openssl选项,并且在服务器启动时ssl设置是打开的,详细内容可见这里。
  1. hostnossl
复制代码
这个和上面的hostssl相反,只匹配通过在TCP/IP上举行的非SSL联接筹划。
数据库(database)
声明记载所匹配的数据库。
值 all 表明该记载匹配全部数据库;
值 sameuser表现如果被请求的数据库和请求的用户同名,则匹配;
值samegroup 表现请求的用户必须是一个与数据库同名的组中的成员;
值 replication 表现匹配一条replication毗连,它不指定一个特定的数据库,一般在流复制中使用;
在其他环境里,这就是一个特定的 PostgreSQL 数据库的名字。 我们可以通过用逗号分隔的方法声明多个数据库。 一个包含数据库名的文件可以通过对该文件前缀 @ 来声明.该文件必须和 pg_hba.conf 在同一个目次。
用户名(user)
为这条记载声明所匹配的 PostgreSQL 用户,值 all 表明它匹配 于全部用户。否则,它就是特定 PostgreSQL 用户的名字,多个用户名可以通过用逗号分隔的方法声明,在名字前面加上+代表匹配该用户组的全部用户。一个包含用户名的文件可以 通过在文件名前面前缀 @ 来声明,该文件必须和 pg_hba.conf 在同一个目次。
主机地址(address)
指定匹配的客户端的地址,它可以是一个主机名,一个IP地址范围,大概下面提到的这些选项。
一个IP地址范围是一个标准的点分十进制表现的 IP地址/掩码值。留意, 在'IP地址','/'和'掩码值'之间不要有任何的空缺字符。
比如对于IPv4地址来说, 172.20.143.89/32指定单个主机的IP,172.20.143.0/24代表一个小的子网。对于IPv6地址来说,::1/128指定单个主机(这里是本机环回地址),fe80::7a31:c1ff:0000:0000/96 指定一个IPv6的子网。0.0.0.0/0代表全部IPv4地址,::0/0代表全部IPv6地址。
一个IPv4地址选项只能匹配IPv4地址,一个IPv6地址选项只能匹配IPv6地址,纵然给出的地址选项在IPV4和IPv6中同时存在。
当然你可以使用 all 选项来匹配全部的IP地址,使用 samehost 匹配服务器本身全部的IP地址,samenet来匹配服务器直接接入的子网。
如果指定的是主机名(既不是IP地址也不是上面提到的选项),这个主机名将会和发起毗连请求的客户端的IP地址的反向名称剖析结果(即通过客户端的IP剖析其主机名,比如使用反向DNS查找)举行比对,如果存在匹配,再使用正向名称剖析(比方DNS查找)将主机名剖析为IP地址(大概有多个IP地址),再判定客户端的IP地址是否在这些IP地址中。如果正向和反向剖析都成功匹配,那么就真正匹配这个地址(以是在pg_nba.conf文件里的主机地址必须是客户端IP的 address-to-name 剖析返回的那个主机名。一些主机名数据库允许将一个IP地址和多个主机名绑定,但是在剖析IP地址时,使用体系只会返回一个主机名)。
有些主机名以点(.)开头,匹配那些具有雷同后缀的主机名,比如.example.com匹配foo.example.com(当然不仅仅只匹配foo.example.com)。
还有,在pg_hba.conf文件中使用主机名的时候,你最好能保证主机名的剖析比力快,一个好的发起就是创建一个本地的域名剖析缓存(比如nscd)。
本选项只能在毗连方式是host,hostssl大概hostnossl的时候指定。
ip地址(ip-address)、子网掩码(ip-mask)
这两个字段包含可以当作是标准点分十进制表现的 IP地址/掩码值的一个替代。比方。使用255.255.255.0 代表一个24位的子网掩码。它们俩放在一起,声明了这条记载匹配的客户机的 IP 地址大概一个IP地址范围。本选项只能在毗连方式是host,hostssl大概hostnossl的时候指定。
认证方法(authentication method)
  1. trust
复制代码
无条件地允许联接,这个方法允许任何可以与PostgreSQL 数据库联接的用户以他们渴望的任意 PostgreSQL 数据库用户身份举行联接,而不必要口令。
  1. reject
复制代码
联接无条件拒绝,常用于从一个组中"过滤"某些主机。
  1. md5
复制代码
要求客户端提供一个 MD5 加密的口令举行认证,这个方法是允许加密口令存储在pg_shadow里的唯一的一个方法。
  1. password
复制代码
和"md5"一样,但是口令是以明文情势在网络上转达的,我们不应该在不安全的网络上使用这个方式。
  1. gss
复制代码
使用GSSAPI认证用户,这只实用于 TCP/IP 毗连。
  1. sspi
复制代码
使用SSPI认证用户,这只实用于 Windows 毗连。
  1. peer
复制代码
获取客户端的使用体系的用户名并判定他是否匹配请求的数据库名,这只实用于本地毗连。
  1. ldap
复制代码
使用LDAP服务举行验证。
  1. radius
复制代码
使用RADIUS服务举行验证。
  1. cert
复制代码
使用SSL服务举行验证。
  1. pam
复制代码
使用使用体系提供的可插入的认证模块服务 (Pluggable Authentication Modules)(PAM)来认证。
认证设置(authentication-option)

这个可选的字段的寄义取决与选择的认证方法。手册上也没有详细的分析,但是给出了如下的例子供参考。
  1. # Allow any user on the local system to connect to any database with
  2. # any database user name using Unix-domain sockets (the default for local
  3. # connections).
  4. #
  5. # TYPE DATABASE  USER   ADDRESS     METHOD
  6. local all    all          trust
  7. # The same using local loopback TCP/IP connections.
  8. #
  9. # TYPE DATABASE  USER   ADDRESS     METHOD
  10. host all    all    127.0.0.1/32   trust
  11. # The same as the previous line, but using a separate netmask column
  12. #
  13. # TYPE DATABASE  USER   IP-ADDRESS  IP-MASK    METHOD
  14. host all    all    127.0.0.1  255.255.255.255  trust
  15. # The same over IPv6.
  16. #
  17. # TYPE DATABASE  USER   ADDRESS     METHOD
  18. host all    all    ::1/128     trust
  19. # The same using a host name (would typically cover both IPv4 and IPv6).
  20. #
  21. # TYPE DATABASE  USER   ADDRESS     METHOD
  22. host all    all    localhost    trust
  23. # Allow any user from any host with IP address 192.168.93.x to connect
  24. # to database "postgres" as the same user name that ident reports for
  25. # the connection (typically the operating system user name).
  26. #
  27. # TYPE DATABASE  USER   ADDRESS     METHOD
  28. host postgres  all    192.168.93.0/24   ident
  29. # Allow any user from host 192.168.12.10 to connect to database
  30. # "postgres" if the user's password is correctly supplied.
  31. #
  32. # TYPE DATABASE  USER   ADDRESS     METHOD
  33. host postgres  all    192.168.12.10/32  md5
  34. # Allow any user from hosts in the example.com domain to connect to
  35. # any database if the user's password is correctly supplied.
  36. #
  37. # TYPE DATABASE  USER   ADDRESS     METHOD
  38. host all    all    .example.com   md5
  39. # In the absence of preceding "host" lines, these two lines will
  40. # reject all connections from 192.168.54.1 (since that entry will be
  41. # matched first), but allow GSSAPI connections from anywhere else
  42. # on the Internet. The zero mask causes no bits of the host IP
  43. # address to be considered, so it matches any host.
  44. #
  45. # TYPE DATABASE  USER   ADDRESS     METHOD
  46. host all    all    192.168.54.1/32   reject
  47. host all    all    0.0.0.0/0    gss
  48. # Allow users from 192.168.x.x hosts to connect to any database, if
  49. # they pass the ident check. If, for example, ident says the user is
  50. # "bryanh" and he requests to connect as PostgreSQL user "guest1", the
  51. # connection is allowed if there is an entry in pg_ident.conf for map
  52. # "omicron" that says "bryanh" is allowed to connect as "guest1".
  53. #
  54. # TYPE DATABASE  USER   ADDRESS     METHOD
  55. host all    all    192.168.0.0/16   ident map=omicron
  56. # If these are the only three lines for local connections, they will
  57. # allow local users to connect only to their own databases (databases
  58. # with the same name as their database user name) except for administrators
  59. # and members of role "support", who can connect to all databases. The file
  60. # $PGDATA/admins contains a list of names of administrators. Passwords
  61. # are required in all cases.
  62. #
  63. # TYPE DATABASE  USER   ADDRESS     METHOD
  64. local sameuser  all          md5
  65. local all    @admins         md5
  66. local all    +support        md5
  67. # The last two lines above can be combined into a single line:
  68. local all    @admins,+support      md5
  69. # The database column can also use lists and file names:
  70. local db1,db2,@demodbs all         md5
复制代码
2.一些tips和发起

pg_hba.conf文件是云云告急,我们最幸亏创建数据库的时候就将它设置好,省得厥后设置环境时出一些奇奇怪怪的错误。在修改pg_hba.conf文件后一定要记得pg_ctl reload一下。当然,还要做好备份。
大概是欺凌症,我每次设置都是尽量最小设置(实际上也应该这么做),比如指定用户名,数据库和可访问IP地址的时候,就只给最小权限,最小范围就好了,制止本身误使用是一回事,同时,把数据库袒露在太多人面前总觉得不安全。
对于访问认证的控制,除了在pg_hba.conf里面设置外,也应该在数据库里再进一步设置,比如给某个用户只授予所需的最低权限,比如对查询用户就只给所需的某几个数据库数据库的读权限,其他的只给数据库表的增编削查权限等,这里不赘述。
慎用trust认证方式,不要怕偷懒输密码,对于珍贵的数据来说多警惕一点总没错,不然的话请阅读《postgresql删库与跑路》(haha,just for fun~),当然实在怕懒可以设置下.pgpass这个文件,懂得自然懂。
最后,对于体系数据库最好还是设置下reject的吧。都不要乱动哈哈。
以上为个人履历,希望能给各人一个参考,也希望各人多多支持草根技术分享。如有错误或未思量完全的地方,望不吝见教。

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?立即注册

x

帖子地址: 

回复

使用道具 举报

分享
推广
火星云矿 | 预约S19Pro,享500抵1000!
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

草根技术分享(草根吧)是全球知名中文IT技术交流平台,创建于2021年,包含原创博客、精品问答、职业培训、技术社区、资源下载等产品服务,提供原创、优质、完整内容的专业IT技术开发社区。
  • 官方手机版

  • 微信公众号

  • 商务合作