PostgreSQL 连接和认证
- 19.3.1. 连接设置
- 19.3.2. 安全和认证
- 19.3.3. SSL
19.3.1. 连接设置
listen_addresses
(string
)-
指定服务器在哪些 TCP/IP 地址上监听客户端连接。值的形式是一个逗号分隔的主机名和/或数字 IP 地址列表。特殊项
*
对应所有可用 IP 接口。项0.0.0.0
允许监听所有 IPv4 地址并且::
允许监听所有 IPv6 地址。如果列表为空,服务器将根本不会监听任何 IP 接口,在这种情况中只能使用 Unix 域套接字来连接它。默认值是 localhost,它只允许建立本地 TCP/IP “环回”连接。虽然客户端认证(第 20 章)允许细粒度地控制谁能访问服务器,listen_addresses
控制哪些接口接受连接尝试,这能帮助在不安全网络接口上阻止重复的恶意连接请求。这个参数只能在服务器启动时设置。 port
(integer
)-
服务器监听的 TCP 端口;默认是 5432 。请注意服务器会同一个端口号监听所有的 IP 地址。这个参数只能在服务器启动时设置。
max_connections
(integer
)-
决定数据库的最大并发连接数。默认值通常是 100 个连接,但是如果内核设置不支持(initdb时决定),可能会比这个 数少。这个参数只能在服务器启动时设置。
当运行一个后备服务器时,你必须设置这个参数等于或大于主服务器上的参数。否则,后备服务器上可能无法允许查询。
superuser_reserved_connections
(integer
)-
决定为PostgreSQL超级用户连接而保留的连接“槽”数。 同时活跃的并发连接最多
max_connections
个。任何时候,活跃的并发连接数最多为max_connections
减去superuser_reserved_connections
,新连接就只能由超级用户发起了,并且不会有新的复制连接被接受。默认值是 3 连接 。这个值必须小于
max_connections
。 这个参数只能在服务器启动时设置。 unix_socket_directories
(string
)-
指定服务器用于监听来自客户端应用的连接的 Unix 域套接字目录。通过列出用逗号分隔的多个目录可以建立多个套接字。 项之间的空白被忽略,如果你需要在名字中包括空白或逗号,在目录名周围放上双引号。 一个空值指定在任何 Unix 域套接字上都不监听,在这种情况中只能使用 TCP/IP 套接字来连接到服务器。 默认值通常是
/tmp
,但是在编译时可以被改变。在windows上,默认值为空,意味着默认不建立UNIX-域嵌套。这个参数只能在服务器启动时设置。除了套接字文件本身(名为
.s.PGSQL.
,其中nnnn
nnnn
是服务器的端口号),一个名为.s.PGSQL.
的普通文件会在每一个nnnn
.lockunix_socket_directories
目录中被创建。任何一个都不应该被手工移除。 unix_socket_group
(string
)-
设置 Unix 域套接字的所属组(套接字的所属用户总是启动服务器的用户)。可以与选项
unix_socket_permissions
一起用于对 Unix域连接进行访问控制。默认是一个空字符串,表示服务器用户的默认组。这个参数只能在服务器启动时设置。Windows 上不支持这个参数,所有设置会被忽略。
unix_socket_permissions
(integer
)-
设置 Unix 域套接字的访问权限。Unix 域套接字使用普通的 Unix 文件系统权限集。这个参数值应该是数字的形式,也就是系统调用
chmod
和umask
接受的 形式(如果使用自定义的八进制格式,数字必须以一个0
(零)开头)。默认的权限是
0777
,意思是任何人都可以连接。合理的候选是0770
(只有用户和同组的人可以访问, 又见unix_socket_group
)和0700
(只有用户自己可以访问)(请注意,对于 Unix 域套接字,只有写权限有麻烦,因此没有对读取和执行权限的设置和收回)。这个访问控制机制与第 20 章中的用户认证没有关系。
这个参数只能在服务器启动时设置。
这个参数与完全忽略套接字权限的系统无关,尤其是自版本10以上的Solaris。 在那些系统上,可以通过把
unix_socket_directories
指向一个把搜索权限 限制给指定用户的目录来实现相似的效果。 bonjour
(boolean
)-
通过Bonjour广告服务器的存在。默认值是关闭。 这个参数只能在服务器启动时设置。
bonjour_name
(string
)-
指定Bonjour服务名称。空字符串
''
(默认值)表示使用计算机名。 如果编译时没有打开Bonjour支持那么将忽略这个参数。这个参数只能在服务器启动时设置。 tcp_keepalives_idle
(integer
)-
规定在操作系统向客户端发送一个TCP keepalive消息后无网络活动的时间总量。 如果指定值时没有单位,则以秒为单位。值0(默认值)表示选择操作系统默认值。 指定不活动多少秒之后通过 TCP 向客户端发送一个 keepalive 消息。 0 值表示使用默认值。 这个参数只有在支持
TCP_KEEPIDLE
或等效套接字选项的系统或 Windows 上才可以使用。在其他系统上,它必须为零。在通过 Unix 域套接字连接的会话中,这个参数被忽略并且总是读作零。注意
在 Windows 上,设定值为0将设置这个参数为 2 小时,因为 Windows 不支持读取系统默认值。
tcp_keepalives_interval
(integer
)-
规定未被客户端确认收到的TCP keepalive消息应重新传输的时间长度。 如果指定值时没有单位,则以秒为单位。值0(默认值)表示选择操作系统默认值。 这个参数只有在支持
TCP_KEEPINTVL
或等效套接字选项的系统或 Windows 上才可以使用。在其他系统上,必须为零。在通过 Unix域套接字连接的会话中,这个参数被忽略并总被读作零。注意
在 Windows 上,设定值为0将设置这个参数为 1 秒,因为 Windows 不支持读取系统默认值。
tcp_keepalives_count
(integer
)-
指定服务器到客户端的连接被认为中断之前可以丢失的TCP keepalive消息的数量。值0(默认值)表示选择操作系统默认值。 这个参数只有在支持
TCP_KEEPCNT
或等效套接字选项的系统上才可以使用。在其他系统上,必须为零。在通过 Unix 域套接字连接的会话中,这个参数被忽略并总被读作零。注意
Windows 不支持该参数,且必须为零。
tcp_user_timeout
(integer
)-
指定传输的数据在TCP连接被强制关闭之前可以保持未确认状态的时间量。 如果指定值时没有单位,则以毫秒为单位。值0(默认值)表示选择操作系统默认值。 这个参数只有在支持
TCP_USER_TIMEOUT
的系统上才被支持;在其他系统上,它必须为零。 在通过Unix-domain 套接字连接的会话中,此参数将被忽略并且始终读取为零。注意
在Windows上不支持该参数,并且必须为零。
19.3.2. 安全和认证
authentication_timeout
(integer
)-
允许完成客户端认证的最长时间。如果一个客户端没有在这段时间里完成认证协议,服务器将关闭连接。 这样就避免了出问题的客户端无限制地占有一个连接。如果指定值时没有单位,则以秒为单位。 默认值是 1分钟(
1m
)。这个参数只能在服务器命令行上或者在postgresql.conf
文件中设置。 password_encryption
(enum
)-
当在CREATE ROLE或者ALTER ROLE中指定了口令时,这个参数决定用于加密该口令的算法。默认值是
md5
,它会将口令存为一个MD5哈希(on
也会被接受,它是md5
的别名)。将这个参数设置为scram-sha-256
将使用SCRAM-SHA-256来加密口令。注意老的客户端可能缺少对SCRAM认证机制的支持,因此无法使用用SCRAM-SHA-256加密的口令。详情请参考第 20.5 节。
krb_server_keyfile
(string
)-
设置Kerberos服务器密钥文件的位置。详情请参考第 20.6 节。这个参数只能在
postgresql.conf
文件中或者服务器命令行上设置。 krb_caseins_users
(boolean
)-
设置是否应该以大小写不敏感的方式对待GSSAPI用户名。默认值是
off
(大小写敏感)。这个参数只能在postgresql.conf
文件中或者服务器命令行上设置。 db_user_namespace
(boolean
)-
这个参数启用针对每个数据库的用户名。这个参数默认是关掉的。这个参数只能在
postgresql.conf
文件中或者服务器命令行上设置。如果这个参数为打开,应该把用户创建成
username@dbname
的形式。当一个连接客户端传来username
时,@
和数据库名会被追加到用户名并且服务器会查找这个与数据库相关的用户名。注意在SQL环境中用含有@
的名称创建用户时,需要把用户名放在引号内。在这个参数被启用时,仍然可以创建平常的全局用户。而在客户端中指定这种用户时只需要简单地追加
@
,例如joe@
。在服务器查找该用户名之前,@
会被剥离掉。db_user_namespace
会导致客户端和服务器的用户名表达形式不同。认证检查总是会以服务器的用户名表达形式来完成,因此认证方法必须针对服务器用户名而不是客户端用户名来配置。由于md5
方法在客户端和服务器两端都使用用户名作为salt,md5
不能与db_user_namespace
同时使用。注意
这种特性的目的是在找到完整的解决方案之前提供一种临时的措施。在找到完整解决方案时,这个选项将被去除。
19.3.3. SSL
有关设置SSL的更多信息请参考第 18.9 节。
ssl
(boolean
)-
启用SSL连接。这个参数只能在
postgresql.conf
文件中或者服务器命令行上设置。默认值是off
。 ssl_ca_file
(string
)-
指定包含 SSL 服务器证书颁发机构(CA)的文件名。相对路径是相对于数据目录的。这个参数只能在
postgresql.conf
文件中或者服务器命令行上设置。默认值为空,表示没有载入CA文件,并且客户端证书验证没有被执行。 ssl_cert_file
(string
)-
指定包含 SSL 服务器证书的文件名。相对路径是相对于数据目录的。这个参数只能在
postgresql.conf
文件中或者服务器命令行上设置。默认值是server.crt
。 ssl_crl_file
(string
)-
指定包含 SSL 服务器证书撤销列表(CRL)的文件名。其中的相对路径是相对于数据目录的。这个参数只能在
postgresql.conf
文件中或者服务器命令行上设置。默认值是空,表示没有载入CRL文件。 ssl_key_file
(string
)-
指定包含 SSL 服务器私钥的文件名。相对路径是相对于数据目录。这个参数只能在
postgresql.conf
文件中或者服务器命令行上设置。默认值是server.key
。 ssl_ciphers
(string
)-
指定一个允许用于SSL连接的SSL密码套件列表。 这个设置的语法和所支持的值列表可以参见OpenSSL包中的ciphers手册页。 仅在使用 TLS 版本 1.2 及更低版本的连接才受影响。目前没有控制 TLS 版本 1.3 连接使用的密码选择的设置。 默认值是
HIGH:MEDIUM:+3DES:!aNULL
。默认值通常是一种合理的选择,除非用户有特定的安全性需求。这个参数只能在
postgresql.conf
文件中或者服务器命令行上设置。默认值的解释:
HIGH
-
使用来自
HIGH
组的密码的密码组(例如 AES, Camellia, 3DES) MEDIUM
-
使用来自
MEDIUM
组的密码的密码组(例如 RC4, SEED) +3DES
-
OpenSSL 对
HIGH
的默认排序是有问题的,因为它认为 3DES 比 AES128 更高。这是错误的,因为 3DES 提供的安全性比 AES128 低,并且它也更加慢。+3DES
把它重新排序在所有其他HIGH
和MEDIUM
密码之后。 !aNULL
-
禁用不做认证的匿名密码组。这类密码组容易收到中间人攻击,因此不应被使用。
可用的密码组细节可能会随着 OpenSSL 版本变化。可使用命令
openssl ciphers -v 'HIGH:MEDIUM:+3DES:!aNULL'
来查看 当前安装的OpenSSL版本的实际细节。注意这个列表是根据服务器密钥类型 在运行时过滤过的。 ssl_prefer_server_ciphers
(boolean
)-
指定是否使用服务器的 SSL 密码首选项,而不是用客户端的。这个参数只能在
postgresql.conf
文件中或者服务器命令行上设置。 默认值是on
。老的PostgreSQL版本没有这个设置并且总是使用客户端的首选项。这个设置主要用于与那些版本 的向后兼容性。使用服务器的首选项通常会更好,因为服务器更可能会被合适地配置。
ssl_ecdh_curve
(string
)-
指定用在ECDH密钥交换中的曲线名称。它需要被所有连接的客户端支持。 它不需要与服务器椭圆曲线密钥使用的曲线相同。这个参数只能在
postgresql.conf
文件中或者服务器命令行上设置。默认值是prime256v1
。OpenSSL 命名了最常见的曲线:
prime256v1
(NIST P-256)、secp384r1
(NIST P-384)、secp521r1
(NIST P-521)。openssl ecparam -list_curves
命令可以显示可用曲线的完 整列表。不过并不是所有的都在 TLS中可用。 ssl_min_protocol_version
(enum
)-
设置要使用的最小SSL/TLS协议版本。当前的可用版本包括:
TLSv1
,TLSv1.1
,TLSv1.2
,TLSv1.3
. 旧版本的 OpenSSL 库不支持所有值;如果选择了不支持的设置将会引发错误。 TLS 1.0之前的协议版本,也就是SSL 版本 2 and 3,总是禁用的。默认为
TLSv1.2
, 在本文撰写时的行业最佳实践。 ssl_max_protocol_version
(enum
)-
设定要使用的最大SSL/TLS协议版本。 有效的版本为 ssl_min_protocol_version, 添加一个空字符串,允许任何协议版本。 默认为允许任何版本。设置最大协议版本主要用于测试,或者某个组件在与较新的协议配合工作时出现了问题。
ssl_dh_params_file
(string
)-
指定含有用于SSL密码的所谓临时DH家族的Diffie-Hellman参数的文件名。默认值为空,这种情况下将使用内置的默认DH参数。使用自定义的DH参数可以降低攻击者破解众所周知的内置DH参数的风险。可以用命令
openssl dhparam -out dhparams.pem 2048
创建自己的DH参数文件。这个参数只能在
postgresql.conf
文件中或服务器命令行上进行设置。 ssl_passphrase_command
(string
)-
设置当需要一个密码(例如一个私钥)来解密SSL文件时会调用的一个外部命令。默认情况下,这个参数为空,表示使用内建的提示机制。
该命令必须将密码打印到标准输出并且以代码0退出。在该参数值中,
%p
被替换为一个提示字符串(要得到文字%
,应该写成%%
)。注意该提示字符串将可能含有空格,因此要确保加上适当的引号。如果输出的末尾有单一的新行,它会被剥离掉。该命令实际上并不一定要提示用户输入一个密码。它可以从文件中读取密码、从钥匙链得到密码等等。确保选中的机制足够安全是用户的责任。
这个参数只能在
postgresql.conf
文件中或服务器命令行上进行设置。 ssl_passphrase_command_supports_reload
(boolean
)-
这个参数决定在配置重载期间如果一个密钥文件需要口令时,是否也调用
ssl_passphrase_command
设置的密码命令。 如果这个参数为off(默认),那么在重载期间将忽略ssl_passphrase_command
,如果在此期间需要密码则SSL配置将不会被重载。 对于要求一个TTY(当服务器正在运行时可能是不可用的)来进行提示的命令,这种设置是合适的。 例如,如果密码是从一个文件中得到的,将这个参数设置为on可能是合适的。这个参数只能在
postgresql.conf
文件中或者服务器命令行上设置。
更多建议: