Проблема безопасности с pg_hba.conf

Question

Да, то есть конфигурация, котораявам следует избегать, за исключением очень ограниченных особых случаев:

доверять

Разрешить подключение безусловно. Этот метод позволяет любому, кто может подключиться к серверу базы данных PostgreSQL, войти в систему как любой пользователь PostgreSQL по своему желанию, без необходимости ввода пароля или какой-либо другой аутентификации.

[..]

Аутентификация доверия подходит только для соединений TCP/IP, если вы доверяете каждому пользователю на каждой машине, которой разрешено подключаться к серверу строками pg_hba.conf, которые указывают доверие. Редко бывает разумно использовать доверие для любых соединений TCP/IP, кроме тех, что с localhost (127.0.0.1).

Обратите внимание, что разрешение подключений без указания пароля может быть уже реализовано, так как многие дистрибутивы по умолчанию аутентифицируют подключения через сокеты unix в качестве подключающегося пользователя. Это обычно приводит к тому, что www-dataсистемный пользователь может использовать www-dataпользователя postgres без пароля. Проверьте остальную часть конфигурации аутентификации, чтобы узнать, так ли это.

Рекомендация:Предоставьте пароль или сертификат аутентификации, сделайтенетпродолжить с trustопцией.

Обратите внимание также, что ограничение чего-либо только адресами обратной связи обычно не является достаточно надежной гарантией от внешнего доступа. Существует долгая история доступа к службам, связанным с обратной связью, через другое программное обеспечение, действующее как непреднамеренный прокси.

Answer 1

Да, то есть конфигурация, котораявам следует избегать, за исключением очень ограниченных особых случаев:

доверять

Разрешить подключение безусловно. Этот метод позволяет любому, кто может подключиться к серверу базы данных PostgreSQL, войти в систему как любой пользователь PostgreSQL по своему желанию, без необходимости ввода пароля или какой-либо другой аутентификации.

[..]

Аутентификация доверия подходит только для соединений TCP/IP, если вы доверяете каждому пользователю на каждой машине, которой разрешено подключаться к серверу строками pg_hba.conf, которые указывают доверие. Редко бывает разумно использовать доверие для любых соединений TCP/IP, кроме тех, что с localhost (127.0.0.1).

Обратите внимание, что разрешение подключений без указания пароля может быть уже реализовано, так как многие дистрибутивы по умолчанию аутентифицируют подключения через сокеты unix в качестве подключающегося пользователя. Это обычно приводит к тому, что www-dataсистемный пользователь может использовать www-dataпользователя postgres без пароля. Проверьте остальную часть конфигурации аутентификации, чтобы узнать, так ли это.

Рекомендация:Предоставьте пароль или сертификат аутентификации, сделайтенетпродолжить с trustопцией.

Обратите внимание также, что ограничение чего-либо только адресами обратной связи обычно не является достаточно надежной гарантией от внешнего доступа. Существует долгая история доступа к службам, связанным с обратной связью, через другое программное обеспечение, действующее как непреднамеренный прокси.

Проблема безопасности с pg_hba.conf

решение1

Связанный контент