pg_hba.conf 的安全問題

Question

相信

無條件允許連接。此方法允許任何可以連接到 PostgreSQL 資料庫伺服器的人以他們想要的任何 PostgreSQL 使用者身分登錄，而無需密碼或任何其他身份驗證。

[..]

信任身份驗證僅適用於 TCP/IP 連接，如果您信任每台允許透過指定信任的 pg_hba.conf 行連接到伺服器的電腦上的每個使用者。除了來自 localhost (127.0.0.1) 的連線之外，對任何 TCP/IP 連線使用信任很少是合理的。

請注意，允許在不提供任何密碼的情況下進行連線可能已經是這種情況，因為許多發行版預設會透過 unix 套接字作為連線使用者來驗證連線。這通常會導致系統使用者無需密碼www-data即可使用postgres 使用者。www-data檢查身份驗證配置的其餘部分，看看是否屬於這種情況。

推薦：設定密碼或憑證驗證，執行不是繼續選擇該trust選項。

另請注意，僅將某些內容限制為環回位址通常不足以安全地保證防止外部存取。透過充當非預期代理的其他軟體來存取環回綁定服務的歷史由來已久。

Answer 1

是的，這是一個配置除了非常有限的特殊情況外，您通常應該避免：

相信

無條件允許連接。此方法允許任何可以連接到 PostgreSQL 資料庫伺服器的人以他們想要的任何 PostgreSQL 使用者身分登錄，而無需密碼或任何其他身份驗證。

[..]

信任身份驗證僅適用於 TCP/IP 連接，如果您信任每台允許透過指定信任的 pg_hba.conf 行連接到伺服器的電腦上的每個使用者。除了來自 localhost (127.0.0.1) 的連線之外，對任何 TCP/IP 連線使用信任很少是合理的。

請注意，允許在不提供任何密碼的情況下進行連線可能已經是這種情況，因為許多發行版預設會透過 unix 套接字作為連線使用者來驗證連線。這通常會導致系統使用者無需密碼www-data即可使用postgres 使用者。www-data檢查身份驗證配置的其餘部分，看看是否屬於這種情況。

推薦：設定密碼或憑證驗證，執行不是繼續選擇該trust選項。

另請注意，僅將某些內容限制為環回位址通常不足以安全地保證防止外部存取。透過充當非預期代理的其他軟體來存取環回綁定服務的歷史由來已久。

pg_hba.conf 的安全問題

答案1

相關內容