Postgre-SQL数据库安全防护.pptx

PostgreSQL数据库安全防护数据库泄露事件解读

[root@tar1~]#netstat-anpo|greppost:*:*:::*:::*tcp 0 0:5431tcp 0 0:5432tcp6 0 0::1:5431tcp6 0 0:::5432udp6 0 0::1:60414::1:60414LISTEN 3106/postmaster off(0.00/0/0)LISTEN 3108/postmaster off(0.00/0/0)LISTEN 3106/postmaster off(0.00/0/0)LISTEN 3108/postmaster off(0.00/0/0)ESTABLISHED3106/postmaster off(0.00/0/0)udp6 0 0::1:42055::1:42055 ESTABLISHED3108/postmaster off(0.00/0/0)unix2 [ACC] STREAMLISTENING 30234 3108/postmaster /tmp/.s.PGSQL.5432[ACC]STREAM[ACC]STREAM[ACC]STREAMLISTENING 30033 3108/postmaster /var/run/postgresql/.s.PGSQL.5432LISTENING 29838 3106/postmaster /tmp/.s.PGSQL.5431LISTENING 29836 3106/postmaster /var/run/postgresql/.s.PGSQL.5431unix2unix2unix2unix3unix3unix3[] STREAM[] STREAM[] STREAMCONNECTEDCONNECTEDCONNECTED28879 3150/postgres:logg64584 11442/postgres:pos/var/run/postgresql/.s.PGSQL.543228990 3170/postgres:logg

MD5认证MD5是输入不定长度信息，输出固定长度128-bits的算法。经过程序流程，生成四个32位数据，最后联合起来成为一个128-bits散列。基本方式为，求余、取余、调整长度、与链接变量进行循环运算。得出结果。

MD5认证的风险postgres=#SELECTMD5;md5----------------------------------6b20baafbf7b650712b3d8e9eda9ba51(1行记录)如果直接给密码散列,黑客可以通过查散列值字典（例如MD5密码破解网站），得到某用户的密码。

MD5认证

SCRAM-SHA-256安全认证机制

SSL原理①SSL是SecureSocketsLayer（安全套接层协议）的缩写，其目标是保证两个应用间通信的保密性和可靠性,可在服务器端和用户端同时实现支持。已经成为Internet上保密通讯的工业标准。②SSL能使用户/服务器应用之间的通信不被攻击者窃听，并且始终对服务器进行认证，还可选择对用户进行认证。③SSL协议要求建立在可靠的传输层协议(TCP)之上。④SSL协议的优势在于它是与应用层协议独立无关的，高层的应用层协议(例如：HTTP，FTP，TELNET等)能透明地建立于SSL协议之上。SSL协议在应用层协议通信之前就已经完成加密算法、通信密钥的协商及服务器认证工作。在此之后应用层协议所传送的数据都会被加密，从而保证通信的私密性。

SSL服务器端配置/var/lib/pgsql/data/:root.crt(trustedrootcertificate)server.crt(servercertificate)server.key(privatekey)

SSL客户端配置在服务器端产生3个文件opensslgenrsa-des3-out/tmp/postgresql.key1024opensslrsa-in/tmp/postgresql.key-out/tmp/postgresql.keyopensslreq-new-key/tmp/postgresql.key-out/tmp/postgresql.csr-subj/C=CA/ST=BritishColumbia/L=Comox/O=TheBrain.ca/CN=www-dataopensslx509-req-in/tmp