从pg_hba.conf文件谈谈postgresql的连接认证

最近一直在弄postgresql的东西,搭建postgresql数据库集群环境什么的。操作数据库少不得要从远程主机访问数据库环境,例如数据库管理员的远程管理数据库,远程的客户存取数据库文件。

而在postgresql中配置文件pg_hba.conf就是用来设置访问认证的重要文件。这里重点谈谈pg_hba.conf这个文件。

首先声明,本文说明的内容基于postgresql的9.5.4版本,可能和某些低版本的说明有出入,这是postgresql官方自己更新的,如果想看低版本的,可以自己查看下那个对应版本的用户手册。

1.pg_hba.conf文件

在pg_hba.conf文件中,每条记录占一行,指定一条访问认证规则。

总的来说访问控制记录大致有以下7种形式:

local      database  user  auth-method  [auth-options]
host       database  user  address  auth-method  [auth-options]
hostssl    database  user  address  auth-method  [auth-options]
hostnossl  database  user  address  auth-method  [auth-options]
host       database  user  IP-address  IP-mask  auth-method  [auth-options]
hostssl    database  user  IP-address  IP-mask  auth-method  [auth-options]
hostnossl  database  user  IP-address  IP-mask  auth-method  [auth-options]

下面对每个字段分别进行说明。


连接方式(type)

连接方式有四种:local 、host、hostssl、hostnossl

local

这条记录匹配通过 Unix 域套接字进行的联接企图, 没有这种类型的记录,就不允许 Unix 域套接字的联接。

host

这条记录匹配通过TCP/IP网络进行的联接尝试.他既匹配通过ssl方式的连接,也匹配通过非ssl方式的连接。

注意:要使用该选项你要在postgresql.conf文件里设置listen_address选项,不在listen_address里的IP地址是无法匹配到的。因为默认的行为是只在localhost上监听本地连接。

hostssl

这条记录匹配通过在TCP/IP上进行的SSL联接企图。

要使用该选项,服务器编译时必须使用--with-openssl选项,并且在服务器启动时ssl设置是打开的,具体内容可见这里。

hostnossl

这个和上面的hostssl相反,只匹配通过在TCP/IP上进行的非SSL联接企图。


数据库(database)

声明记录所匹配的数据库。

值 all 表明该记录匹配所有数据库;

值 sameuser表示如果被请求的数据库和请求的用户同名,则匹配;

值samegroup 表示请求的用户必须是一个与数据库同名的组中的成员;

值 replication 表示匹配一条replication连接,它不指定一个特定的数据库,一般在流复制中使用;

在其他情况里,这就是一个特定的 PostgreSQL 数据库的名字。 我们可以通过用逗号分隔的方法声明多个数据库。 一个包含数据库名的文件可以通过对该文件前缀 @ 来声明.该文件必需和 pg_hba.conf 在同一个目录。


用户名(user)

为这条记录声明所匹配的 PostgreSQL 用户,值 all 表明它匹配 于所有用户。否则,它就是特定 PostgreSQL 用户的名字,多个用户名可以通过用逗号分隔的方法声明,在名字前面加上+代表匹配该用户组的所有用户。一个包含用户名的文件可以 通过在文件名前面前缀 @ 来声明,该文件必需和 pg_hba.conf 在同一个目录。


主机地址(address)

指定匹配的客户端的地址,它可以是一个主机名,一个IP地址范围,或者下面提到的这些选项。

一个IP地址范围是一个标准的点分十进制表示的 IP地址/掩码值。注意, 在'IP地址','/'和'掩码值'之间不要有任何的空白字符。

比如对于IPv4地址来说, 172.20.143.89/32指定单个主机的IP,172.20.143.0/24代表一个小的子网。对于IPv6地址来说,::1/128指定单个主机(这里是本机环回地址),fe80::7a31:c1ff:0000:0000/96 指定一个IPv6的子网。0.0.0.0/0代表所有IPv4地址,::0/0代表所有IPv6地址。

一个IPv4地址选项只能匹配IPv4地址,一个IPv6地址选项只能匹配IPv6地址,即使给出的地址选项在IPV4和IPv6中同时存在。

当然你可以使用 all 选项来匹配所有的IP地址,使用 samehost 匹配服务器自己所有的IP地址,samenet来匹配服务器直接接入的子网。

如果指定的是主机名(既不是IP地址也不是上面提到的选项),这个主机名将会和发起连接请求的客户端的IP地址的反向名称解析结果(即通过客户端的IP解析其主机名,比如使用反向DNS查找)进行比对,如果存在匹配,再使用正向名称解析(例如DNS查找)将主机名解析为IP地址(可能有多个IP地址),再判断客户端的IP地址是否在这些IP地址中。如果正向和反向解析都成功匹配,那么就真正匹配这个地址(所以在pg_nba.conf文件里的主机地址必须是客户端IP的 address-to-name 解析返回的那个主机名。一些主机名数据库允许将一个IP地址和多个主机名绑定,但是在解析IP地址时,操作系统只会返回一个主机名)。

有些主机名以点(.)开头,匹配那些具有相同后缀的主机名,比如.example.com匹配foo.example.com(当然不仅仅只匹配foo.example.com)。

还有,在pg_hba.conf文件中使用主机名的时候,你最好能保证主机名的解析比较快,一个好的建议就是建立一个本地的域名解析缓存(比如nscd)。

本选项只能在连接方式是host,hostssl或者hostnossl的时候指定。


ip地址(ip-address)、子网掩码(ip-mask)

这两个字段包含可以看成是标准点分十进制表示的 IP地址/掩码值的一个替代。例如。使用255.255.255.0 代表一个24位的子网掩码。它们俩放在一起,声明了这条记录匹配的客户机的 IP 地址或者一个IP地址范围。本选项只能在连接方式是host,hostssl或者hostnossl的时候指定。


认证方法(authentication method)

trust

无条件地允许联接,这个方法允许任何可以与PostgreSQL 数据库联接的用户以他们期望的任意 PostgreSQL 数据库用户身份进行联接,而不需要口令。

reject

联接无条件拒绝,常用于从一个组中"过滤"某些主机。

md5

要求客户端提供一个 MD5 加密的口令进行认证,这个方法是允许加密口令存储在pg_shadow里的唯一的一个方法。

password

和"md5"一样,但是口令是以明文形式在网络上传递的,我们不应该在不安全的网络上使用这个方式。

gss

使用GSSAPI认证用户,这只适用于 TCP/IP 连接。

sspi

使用SSPI认证用户,这只适用于 Windows 连接。

peer

获取客户端的操作系统的用户名并判断他是否匹配请求的数据库名,这只适用于本地连接。

ldap

使用LDAP服务进行验证。

radius

使用RADIUS服务进行验证。

cert

使用SSL服务进行验证。

pam

使用操作系统提供的可插入的认证模块服务 (Pluggable Authentication Modules)(PAM)来认证。


认证配置(authentication-option)

这个可选的字段的含义取决与选择的认证方法。手册上也没有具体的说明,但是给出了如下的例子供参考。

# Allow any user on the local system to connect to any database with
# any database user name using Unix-domain sockets (the default for local
# connections).
#
# TYPE  DATABASE        USER            ADDRESS                 METHOD
local   all             all                                     trust# The same using local loopback TCP/IP connections.
#
# TYPE  DATABASE        USER            ADDRESS                 METHOD
host    all             all             127.0.0.1/32            trust# The same as the previous line, but using a separate netmask column
#
# TYPE  DATABASE        USER            IP-ADDRESS      IP-MASK             METHOD
host    all             all             127.0.0.1       255.255.255.255     trust# The same over IPv6.
#
# TYPE  DATABASE        USER            ADDRESS                 METHOD
host    all             all             ::1/128                 trust# The same using a host name (would typically cover both IPv4 and IPv6).
#
# TYPE  DATABASE        USER            ADDRESS                 METHOD
host    all             all             localhost               trust# Allow any user from any host with IP address 192.168.93.x to connect
# to database "postgres" as the same user name that ident reports for
# the connection (typically the operating system user name).
#
# TYPE  DATABASE        USER            ADDRESS                 METHOD
host    postgres        all             192.168.93.0/24         ident# Allow any user from host 192.168.12.10 to connect to database
# "postgres" if the user's password is correctly supplied.
#
# TYPE  DATABASE        USER            ADDRESS                 METHOD
host    postgres        all             192.168.12.10/32        md5# Allow any user from hosts in the example.com domain to connect to
# any database if the user's password is correctly supplied.
#
# TYPE  DATABASE        USER            ADDRESS                 METHOD
host    all             all             .example.com            md5# In the absence of preceding "host" lines, these two lines will
# reject all connections from 192.168.54.1 (since that entry will be
# matched first), but allow GSSAPI connections from anywhere else
# on the Internet.  The zero mask causes no bits of the host IP
# address to be considered, so it matches any host.
#
# TYPE  DATABASE        USER            ADDRESS                 METHOD
host    all             all             192.168.54.1/32         reject
host    all             all             0.0.0.0/0               gss# Allow users from 192.168.x.x hosts to connect to any database, if
# they pass the ident check.  If, for example, ident says the user is
# "bryanh" and he requests to connect as PostgreSQL user "guest1", the
# connection is allowed if there is an entry in pg_ident.conf for map
# "omicron" that says "bryanh" is allowed to connect as "guest1".
#
# TYPE  DATABASE        USER            ADDRESS                 METHOD
host    all             all             192.168.0.0/16          ident map=omicron# If these are the only three lines for local connections, they will
# allow local users to connect only to their own databases (databases
# with the same name as their database user name) except for administrators
# and members of role "support", who can connect to all databases.  The file
# $PGDATA/admins contains a list of names of administrators.  Passwords
# are required in all cases.
#
# TYPE  DATABASE        USER            ADDRESS                 METHOD
local   sameuser        all                                     md5
local   all             @admins                                 md5
local   all             +support                                md5# The last two lines above can be combined into a single line:
local   all             @admins,+support                        md5# The database column can also use lists and file names:
local   db1,db2,@demodbs  all                                   md5

2.一些tips和建议

  • pg_hba.conf文件是如此重要,我们最好在建立数据库的时候就将它配置好,免得后来配置环境时出一些奇奇怪怪的错误。在修改pg_hba.conf文件后一定要记得pg_ctl reload一下。当然,还要做好备份。
  • 可能是强迫症,我每次配置都是尽量最小配置(实际上也应该这么做),比如指定用户名,数据库和可访问IP地址的时候,就只给最小权限,最小范围就好了,避免自己误操作是一回事,同时,把数据库暴露在太多人面前总觉得不安全。
  • 对于访问认证的控制,除了在pg_hba.conf里面设置外,也应该在数据库里再进一步设置,比如给某个用户只授予所需的最低权限,比如对查询用户就只给所需的某几个数据库数据库的读权限,其他的只给数据库表的增删改查权限等,这里不赘述。
  • 慎用trust认证方式,不要怕偷懒输密码,对于珍贵的数据来说多小心一点总没错,不然的话请阅读《postgresql删库与跑路》(haha,just for fun~),当然实在怕懒可以设置下.pgpass这个文件,懂得自然懂。
  • 最后,对于系统数据库最好还是设置下reject的吧。都不要乱动哈哈。

好啦,这次就这么多了,中午多吃点鼓励下自己。也欢迎各位朋友对我的文章提出自己的宝贵意见,感谢~

转载于:https://www.cnblogs.com/flying-tiger/p/5983588.html

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/469994.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

pythonfor循环列表排序_Python Day4950(for循环语句整理)

班长的图Python for循环可以遍历任何序列的项目,如一个列表或者一个字符串。一、Python 循环遍历列表元素1.for i in list():2.for i in enumerate(list):2.for i in range(len(list)):for i in list():for i in enumerate(list):for i in range(len(list)):二、Pyt…

Java异常处理深入理解_关于java异常处理机制的深入理解.doc

关于java异常处理机制的深入理解.doc 关于JAVA异常处理机制的深入理解1引子TRYCATCHFINALLY恐怕是大家再熟悉不过的语句了,而且感觉用起来也是很简单,逻辑上似乎也是很容易理解。不过,我亲自体验的“教训”告诉我,这个东西可不是想…

14款经典的MySQL客户端软件

1. EMS MySQL Manager强大的mysql管理工具,允许用户通过图形界面创建或编辑数据库对象,并提供通过sql语句管理用户和权限,通过图形界面建立sql语句,自动生成html格式的数据库文档,导入/导出数据,查看/编辑b…

java 设计一个动物类_Java课程设计(动物换位)

【实例简介】是一个关于Java课程设计的一个游戏,这是一个动物换位的游戏,是在前人的基础上改进的。不好请见谅!【实例截图】【核心代码】112df6fb-1189-4bc0-a501-6dd5839cb8dc└── 【Java课程设计】├── Java课程设计.doc└── 动物换位…

(机器学习/计算机视觉/深度学习)代码

PRML 一书的 matlab implementation(官网:http://prml.github.io/)一位计算机视觉学术牛人的 Github(C code)(可作为自己的敲门砖,.sln 项目,也即 vs 平台下完成)0. 图像…

处理字符集中的算式问题

最近遇到一个编程题.题目是这样的:  接收一个字符型的算式,如"12*34",按顺序,每遇到一个数字,则进行运算至该数字的结果.比如传入的是"12*34",那么结果是1,3,7,11. 有的地方表达可能不一样,我的理解记下来的题目就是这样.回来后写了下,用java语言处理的.…

java 格式化 布尔型_这么久才知道Java中的format很强大!

Java中允许我们对指定的对象进行某种格式化,从而得到我们想要的格式化样式。Format首先介绍java.text包中的FormatForamt是一个抽象基类,其具体子类必须实现format(Object obj, StringBuffer toAppendTo, FieldPosition pos)和parseObject(String source…

【腾讯优测干货分享】从压测工具谈并发、压力、吞吐量

本文来自于腾讯bugly开发者社区,非经作者同意,请勿转载,原文地址:http://dev.qq.com/topic/580d914e07b7fc1c26a0cf7c 前言 随着部门业务的拓展,我们有了很多性能测试的机会,但在实战中,慢慢发现…

java 提高性能的 容器库_容器隔离性带来的问题--容器化Java应用比虚机启动速度慢...

引发的问题同等配置下,虚机中的java 服务的启动速度,要比容器快很多(将近两倍)实测数据在同是1c1g的虚机和容器中,虚机启动时间大概在1min20s,容器启动时间大概在2min40s。排查思路怀疑网络最开始怀疑是网络问题,因为业…

MySQL5.6 PERFORMANCE_SCHEMA 说明

背景: MySQL 5.5开始新增一个数据库:PERFORMANCE_SCHEMA,主要用于收集数据库服务器性能参数。并且库里表的存储引擎均为PERFORMANCE_SCHEMA,而用户是不能创建存储引擎为PERFORMANCE_SCHEMA的表。MySQL5.5默认是关闭的,…

php api查询开发,PHP开发API接口(注册、登录、查询用户信息)的实例代码

本节主要内容:php开发API接口的实现代码一、PHP API接口的服务端部分复制代码 代码示例:/*** PHP开发API接口 服务端* edit: www.jbxue.com*/require conn.php;header(Content-Type:text/html;charsetutf-8);$action $_GET[action];switch ($action) {//注册会员ca…

json字符串与json对象之间的转换

字符串转对象(strJSON代表json字符串) var obj eval(strJSON); (运用时候需要除了eval()以外需要json.js包) var obj strJSON.parseJSON(); var obj JSON.parse(strJSON); json对象转字符串(obj代表json对象) var str obj.toJSONS…

ubuntu php 解析,ubuntu运行后台php服务详解

创建一个php服务脚本,该脚本负责抓取mqtt等通信记录,并且保存到数据库。平时,我们只要在服务器端开个终端,就可以运行代码,去抓数据,但是将终端关闭后,就无法抓取数据了。守护进程(daemon)就是一…

04_类与对象_课程动手动脑问题以及课后实验性问题及解答集锦

Answer: 动手动脑: 1——以下代码为何无法通过编译?哪儿出错了? Answer: 因为类Foo的构造函数是有一个参数的,所以我们在new一个Foo类的对象时必须赋予一个符合条件的实参。 2—— 请运行TestStaticInitializeBlock.java示例&…

php如果能编译就完美了,centos7 完美编译PHP7 php-7.2.10.tar.gz

1.下载去官网下载。2、上传并解压tar -zxvf php-7.2.10.tar.gz3、进入文件夹cd php-7.2.104、安装相关依赖包yum install pcre pcre-devel zlib zlib-devel openssl openssl-devel gd gd-devel libjpeg libjpeg-devel libpng libpng-devel freetype freetype-devel e2fsprogs e…

UVA - 11246 - K-Multiple Free set(容斥原理)

题意&#xff1a;给定n&#xff08;1 < n < 10^9&#xff09;和k&#xff08;1 < k < 100&#xff09;&#xff0c;从1~n中选尽量多的整数&#xff0c;使的任意两个整数之间都不是k倍的关系。 容斥原理&#xff0c;&#xff08;例如n 20&#xff0c;k 3&#xff…

2017年php还能火多久,PHP还会火吗?

据不完全数据得知&#xff0c;我国对PHP人才非常紧缺&#xff0c;大约每年有50万人左右。伴随着近几年信息化&#xff0c;智能化&#xff0c;网络化的发展&#xff0c;PHP的发展前景也是不可估量的&#xff0c;那么&#xff0c;你知道是什么影响PHP继续火热的吗?下面我们就来分…

[JZOJ P1288] [DP]矩阵取数

kaike 传送门 07年noipT3&#xff1f; 要我写我肯定放弃 嗯没错就是这么果断 据说要 高精 DP 状态&#xff1f; 举例说明&#xff0c;假设有矩阵 a1,a2,a3,a4....an b1,b2,b3,b4....bn 假设矩阵的最大得分取法为 a1*2b1*2a2*4b2*4a3*8b3*8.....an*2^nb2*2^n&#xff1b; 可以转…

php留言板实现留言评价,PHP实现留言板功能的思路

本文实例为大家分享了php留言板的实现思路&#xff0c;供大家参考&#xff0c;具体内容如下1.创建一个存放留言信息的文件名2.获取表单中的数据给一个变量3.判断文件的时候存在4.对文件执行写的操作&#xff0c;在这之前&#xff0c;注意打开文件的时候&#xff0c;选择对文件的…

jQuery 获取页面元素的属性值

获取浏览器显示区域&#xff08;可视区域&#xff09;的高度 &#xff1a; $(window).height(); 获取浏览器显示区域&#xff08;可视区域&#xff09;的宽度 &#xff1a;$(window).width(); 获取页面的文档高度 $(document).height(); 获取页面的文档宽度 &#xf…