postgresql加固分析和总结.docx

检测项 检测内容 加固方法1、使用命令“vi

身份鉴别

访问控制

重要数据库使用MD5认证，禁止使用trust方式进行认证

应定期修改密码，并使用符合密码复杂度策略的密码

如无业务需求，建议修改postgresql的监听地址

结合iptables限制postgresql的访问IP

根据实际需要设置类型、数据库、用户、客户端地址和认证方法

/var/lib/pgsql/data/pg_hba.conf”打开配

置文件；

2、根据实际情况将“METHOD”的值修改为md5；3、重启postgresql

1、使用超级管理员登录到数据库的控制台：首先切换用户“su-postgres”，再进入控制台：“psql”；

2、更改用户名为dbuser的密码：“alteruserdbuserwithpasswordqt@2016;”

1、使用命令“vi

/var/lib/pgsql/data/postgresql.conf”打开配置文件；

2、将“listen_addresses”的值更改为localhost；

3、保存后重启postgresql：“servicepostgresqlrestart”

1、例如只允许192.168.0.107访问：“iptables-IINPUT-ptcp-s192.168.0.107--dport5432-jACCEPT”；

2、保存新增的配置：“serviceiptablessave”；

3、重启iptables：“serviceiptablesrestart”。

1、使用命令“vi

/var/lib/pgsql/data/pg_hba.conf”打开配置文件；

2、建议配置如下：

—

—

欢迎下载PAGE

欢迎下载

PAGE2

#只允许本地用户使用trust认证host all all

127.0.0.1/32 trust

#远程连接只允许使用md5认证，并对访问IP、用户和数据库进行限制

host db1 user1192.168.10.5/32 md5

#默认阻止除以上配置以外的连接host all all0.0.0.0/0 reject

1、使用命令“vi

/var/lib/pgsql/data/postgresql.conf”打

最大并发

应设置数据库的最大并发连接数，合理使用服务器资源

开配置文件；

2、根据业务需求合理设置“max_connections”的值；

3、保存后重启postgresql：“servicepostgresqlrestart”

1、使用超级管理员登录到数据库的控制台：首先切换用户“su-postgres”，再进入控制台：“psql”；

2、例如，赋予dbuser用户创建用户的权限：

应为应用创建专门的用户，禁 “ALTERROLEdbuserWITHCREATEUSER;”

权限控制

止使用管理员用户，并且要保证这个用户具有尽可能小的权限

3、根据业务需求建议设置的权限：

|SUPERUSER|NOSUPERUSER

|CREATEDB|NOCREATEDB

|CREATEROLE|NOCREATEROLE

|CREATEUSER|NOCREATEUSER

|INHERIT|NOINHERIT

|LOGIN|NOLOGIN

|REPLICATION|NOREPLICATION

1、使用命令“vi

/var/lib/pgsql/data/postgresql.conf”打

开启日志收集，可以回溯事件进行检查或审计

开配置文件；

2、将“logging_collector”的值设置为“on”；3、保存后重启postgresql：“servicepostgresqlrestart”

1、使用命令“vi

/var/lib/pgsql/data/postgresql.conf”打

应对ddl和dml的相关操作进行记录

开配置文件；

2、将“log_statement”的值设置为“mod”；3、保存后重启postgresql：“servicepostgresqlrestart”

安全审计 1、使用命令“vi

应记录客户端连接请求信息和结束连接信息

合理设置日志轮转时间和日志轮转大小

/var/lib/pgsql/data/postgresql.conf”打开配置文件；

2、将“log_connections”和“log_disconnections”的值设置为“on”；3、保存后重启postgresql：“servicepostgresqlrestart”

1、使用