PostgreSQL默认只监听本地端口,用netstat -tuln只会看到“tcp 127.0.0.1:5432 LISTEN”。修改postgresql.conf中的listen_address=*,监听所有端口,这样远程才能通过TCP/IP登录数据库,用netstat -tuln会看到“tcp 0.0.0.0:5432 LISTEN”。

pg_hba.conf配置文件常在PGDATA下

大家知道PostgreSQL在连接认证体系方面功能非常全面,因为它用到了一个 pg_hba.conf

( HBA stands for host-based authentication )文件。

--先来看 pg_hba.conf 文件的一个例子

# TYPE  DATABASE        USER            CIDR-ADDRESS            METHOD

# "local" is for Unix domain socket connections only

local  all  all  trust

# IPv4 local connections:

host  all  all  127.0.0.1/32  md5

# IPv6 local connections:

host  mydb  query_man  192.168.1.55/32  md5

备注:为了显示方便,上面仅列出 pg_hba.conf文件的最后一部分。从上面看出 pg_hba.conf 文件是由一行行记录组成,每行记录包括认证类型,数据库名,用户名,认证IP,认证方式字段。就是这些记录控制着客户端的连接。

本文不准备详细介绍 pg_hba.conf 文件的配置方法,关于 pg_hba.conf 的详细概述可以参考手册 http://www.postgresql.org/docs/9.0/static/client-authentication.html , 本文仅讲述以下场景 pg_hba.conf 的配置方法。

假设场景: 有一套生产库已经上线了,假设这个生产库的库名为 mydb, 生产用户为 skytf, 现在开发人员需要定期的去查看这个库里的某些表,这时考虑到生产库的安全,可以创建一个查询用户 query_man, 并授予一定的查询权限。这时开发人员可以在自己的电脑上通过 pgadmin等客户端工具连接数据库了,但此时有个问题,开发人员手里同时也有生产用户 skytf 的密码 ,因为项目上线时,DBA会所生产用户密码给开发人员,对应用进行配置,一般情况下都没收回这个权限,那么,理论上说,开发人员可以在本机使用生产帐号 skytf 连接生产库了( 不考虑网络情况下 ), 很明显,这是一种安全隐患,但是,PG里的 pg_hba.conf非常强大,可以利用它来配置一种比较严谨的认证方法。

--修改后的 pg_hba.conf 文件

# TYPE  DATABASE        USER            CIDR-ADDRESS            METHOD

# "local" is for Unix domain socket connections only

local    all    all    trust

# IPv4 local connections:

host    all    all    127.0.0.1/32    md5

# IPv6 local connections:

host   mydb    query_man    192.168.1.55/32    md5

host    all        all                192.168.1.55/32    reject

host    all        all                0.0.0.0/0               md5

这里假设 "192.168.1.55" 是指开发人员的IP, 这只是举个例子,如果有多数开发人员,您也可以将它设置成一个网段。这里主要看以下两段, 第一段的意思是,主机 192.168.1.55 仅允许用 query_man 用户连接数据库 mydb, 第二段的意思是拒绝主机  192.168.1.55 以任何用户连接任何数据库。

# IPv6 local connections:

host   mydb    query_man    192.168.1.55/32    md5

host   all         all                192.168.1.55/32    reject

讲到这里,需要讲解下 pg_hba.conf 认证流程,客户端在连接 PostgreSQL时,PostgreSQL 会从上到下读取 pg_hba.conf 文件,如果有匹配的记录且认证通过,则可以连接数据库,如果有匹配的记录且认证失败则访问被拒绝,而不再考虑 pg_hba.conf 接下来的记录。上面的配置有效地控制了开发人员通过本机以生产用户连接生产库的情况, 同时只允许他们以查询用户连接生产库。

 --附:pg_hba.conf 认证流程图

                                                            图一  pg_hba.conf 认证流程图
 

[zz]pg_hba.conf 一种安全地配置策略的更多相关文章

  1. PostgreSQL的pg_hba.conf文件讲解

    pg_hba.conf为PostgreSQL的访问策略配置文件,默认位于/var/lib/pgsql/10/data/目录(PostgreSQL10). 该配置文件有5个参数,分别为:TYPE(主机类 ...

  2. Spring Cloud Config采用Git存储时两种常用的配置策略

    由于Spring Cloud Config默认采用了Git存储,相信很多团队在使用Spring Cloud的配置中心时也会采用这样的策略.即便大家都使用了Git存储,可能还有各种不同的配置方式,本文就 ...

  3. Microsoft EDP(enterprise database protection)配置策略中的三种Rule template

    搭建Microsoft EDP环境: Microsoft 10 insider preview,Microsoft Intune,ie10(要安装插件silverlight) 这里暂时只说在进行配置策 ...

  4. PostgreSQL的 pg_hba.conf 配置参数详解

    pg_hba.conf 配置详解 该文件位于初始化安装的数据库目录下 编辑 pg_hba.conf 配置文件   postgres@clw-db1:/pgdata/9.6/poc/data> v ...

  5. Linux防火墙简介 – iptables配置策略

    Linux防火墙简介 – iptables配置策略 Netfilter/iptables简介 要想真正掌握Linux防火墙体系,首先要搞清楚Netfilter和iptables的关系,Netfilte ...

  6. 从pg_hba.conf文件谈谈postgresql的连接认证

    最近一直在弄postgresql的东西,搭建postgresql数据库集群环境什么的.操作数据库少不得要从远程主机访问数据库环境,例如数据库管理员的远程管理数据库,远程的客户存取数据库文件. 而在po ...

  7. LVS三种模式配置及优点缺点比较

    目录: LVS三种模式配置 LVS 三种工作模式的优缺点比较 LVS三种模式配置 LVS三种(LVS-DR,LVS-NAT,LVS-TUN)模式的简要配置 LVS是什么: http://www.lin ...

  8. LVS三种模式配置及优点缺点比较 转

    LVS三种模式配置及优点缺点比较   作者:gzh0222,发布于2012-11-12,来源:CSDN   目录: LVS三种模式配置 LVS 三种工作模式的优缺点比较 LVS三种模式配置 LVS三种 ...

  9. Spark学习笔记-三种属性配置详细说明【转】

    相关资料:Spark属性配置  http://www.cnblogs.com/chengxin1982/p/4023111.html 本文出处:转载自过往记忆(http://www.iteblog.c ...

随机推荐

  1. UOJ 08 Quine 是在下输了

    #8. Quine Time Limit: 20 Sec Memory Limit: 256 MB 题目连接 http://uoj.ac/problem/8 Description 写一个程序,使其能 ...

  2. c#_自动化测试 (五) 读写64位操作系统的注册表

    非Web程序(桌面程序)的设置一般都存在注册表中. 给这些程序做自动化测试时, 需要经常要跟注册表打交道. 通过修改注册表来修改程序的设置. 本章介绍如何利用C#程序如何操作注册表, 特别是如何操作6 ...

  3. 使用Loadrunner进行接口测试

    在工作中很多时候都需要进行接口测试,如果只是进行接口的功能测试这个很简单,两种类型: 1.如果是基于get的直接使用浏览器进行访问,查看服务器返回的数据是否正确就行, 2.如果是基于post的可以接触 ...

  4. 用 UIViewPropertyAnimator 编写动画

    [iOS 10 day by day] Day 1:开发 iMessage 的第三方插件 [iOS 10 day by day] Day 2:线程竞态检测工具 Thread Sanitizer < ...

  5. iOS如何随意的穿插跳跃,push来pop去

    iOS如何随意的穿插跳跃,push来pop去? 主题思想:如A.B.C.D 四个视图控制器. 想要在 A push B 后, B 在push 到 D ,然后从 D pop 到 C ,在从 C pop ...

  6. 解决JSP页面图片缓存问题

    <% String imagepath="D:\\work\\dbUpdate\\src\\main\\webapp\\newyzm.png"; %> <img ...

  7. Android(java)学习笔记96:如何改变spinner系统自带的字体和颜色

    1.首先我们要知道spinner系统自带字体和颜色本质: 原生的Spring 控件是无法更改字体和颜色的... 从下面的代码可以看出...红色的标注显示使用的是Android默认的布局.. Spinn ...

  8. 无法挂载 “7.9 GB Filesystem”.

    有个8G的U盘,格式化成exfat格式.插入电脑后点击盘符,弹出错误提示: 无法挂载 “7.9 GB Filesystem”. Error mounting: mount exited with ex ...

  9. 虚拟机中Ubuntu设置固定IP方法

    --2013年7月29日20:39:16 场景:在搭建hadoop分布式系统的时候,每次重启节点,节点对应的ip发生变化,现在需要将每个节点绑固定的ip --原理: 设置节点用的网卡->绑定ip ...

  10. ruby 疑难点之—— yield 和 yield self

    yield 所有的"方法(methods)"隐式跟上一个"块(block)"参数. 块参数也可以明确给定,形式就是在参数前面加一个"&&quo ...