tp做网站,花艺企业网站建设项目规划,海南百度首页广告,2023年税收最新政策最近一直在弄postgresql的东西#xff0c;搭建postgresql数据库集群环境什么的。操作数据库少不得要从远程主机访问数据库环境#xff0c;例如数据库管理员的远程管理数据库#xff0c;远程的客户存取数据库文件。 而在postgresql中配置文件pg_hba.conf就是用来设置访问认证…最近一直在弄postgresql的东西搭建postgresql数据库集群环境什么的。操作数据库少不得要从远程主机访问数据库环境例如数据库管理员的远程管理数据库远程的客户存取数据库文件。 而在postgresql中配置文件pg_hba.conf就是用来设置访问认证的重要文件。这里重点谈谈pg_hba.conf这个文件。 首先声明本文说明的内容基于postgresql的9.5.4版本可能和某些低版本的说明有出入这是postgresql官方自己更新的如果想看低版本的可以自己查看下那个对应版本的用户手册。 1.pg_hba.conf文件 在pg_hba.conf文件中每条记录占一行指定一条访问认证规则。 总的来说访问控制记录大致有以下7种形式 local database user auth-method [auth-options]
host database user address auth-method [auth-options]
hostssl database user address auth-method [auth-options]
hostnossl database user address auth-method [auth-options]
host database user IP-address IP-mask auth-method [auth-options]
hostssl database user IP-address IP-mask auth-method [auth-options]
hostnossl database user IP-address IP-mask auth-method [auth-options] 下面对每个字段分别进行说明。 连接方式(type) 连接方式有四种local 、host、hostssl、hostnossl local 这条记录匹配通过 Unix 域套接字进行的联接企图 没有这种类型的记录就不允许 Unix 域套接字的联接。 host 这条记录匹配通过TCP/IP网络进行的联接尝试.他既匹配通过ssl方式的连接也匹配通过非ssl方式的连接。 注意要使用该选项你要在postgresql.conf文件里设置listen_address选项不在listen_address里的IP地址是无法匹配到的。因为默认的行为是只在localhost上监听本地连接。 hostssl 这条记录匹配通过在TCP/IP上进行的SSL联接企图。 要使用该选项服务器编译时必须使用--with-openssl选项并且在服务器启动时ssl设置是打开的具体内容可见这里。 hostnossl 这个和上面的hostssl相反只匹配通过在TCP/IP上进行的非SSL联接企图。 数据库(database) 声明记录所匹配的数据库。 值 all 表明该记录匹配所有数据库; 值 sameuser表示如果被请求的数据库和请求的用户同名则匹配; 值samegroup 表示请求的用户必须是一个与数据库同名的组中的成员; 值 replication 表示匹配一条replication连接它不指定一个特定的数据库一般在流复制中使用; 在其他情况里这就是一个特定的 PostgreSQL 数据库的名字。 我们可以通过用逗号分隔的方法声明多个数据库。 一个包含数据库名的文件可以通过对该文件前缀 来声明该文件必需和 pg_hba.conf 在同一个目录。 用户名(user) 为这条记录声明所匹配的 PostgreSQL 用户值 all 表明它匹配 于所有用户。否则它就是特定 PostgreSQL 用户的名字多个用户名可以通过用逗号分隔的方法声明在名字前面加上代表匹配该用户组的所有用户。一个包含用户名的文件可以 通过在文件名前面前缀 来声明该文件必需和 pg_hba.conf 在同一个目录。 主机地址(address) 指定匹配的客户端的地址它可以是一个主机名一个IP地址范围或者下面提到的这些选项。 一个IP地址范围是一个标准的点分十进制表示的 IP地址/掩码值。注意 在IP地址,/和掩码值之间不要有任何的空白字符。 比如对于IPv4地址来说 172.20.143.89/32指定单个主机的IP172.20.143.0/24代表一个小的子网。对于IPv6地址来说::1/128指定单个主机(这里是本机环回地址)fe80::7a31:c1ff:0000:0000/96 指定一个IPv6的子网。0.0.0.0/0代表所有IPv4地址::0/0代表所有IPv6地址。 一个IPv4地址选项只能匹配IPv4地址一个IPv6地址选项只能匹配IPv6地址即使给出的地址选项在IPV4和IPv6中同时存在。 当然你可以使用 all 选项来匹配所有的IP地址使用 samehost 匹配服务器自己所有的IP地址samenet来匹配服务器直接接入的子网。 如果指定的是主机名(既不是IP地址也不是上面提到的选项)这个主机名将会和发起连接请求的客户端的IP地址的反向名称解析结果(即通过客户端的IP解析其主机名比如使用反向DNS查找)进行比对如果存在匹配再使用正向名称解析(例如DNS查找)将主机名解析为IP地址(可能有多个IP地址)再判断客户端的IP地址是否在这些IP地址中。如果正向和反向解析都成功匹配那么就真正匹配这个地址(所以在pg_nba.conf文件里的主机地址必须是客户端IP的 address-to-name 解析返回的那个主机名。一些主机名数据库允许将一个IP地址和多个主机名绑定,但是在解析IP地址时操作系统只会返回一个主机名)。 有些主机名以点(.)开头匹配那些具有相同后缀的主机名比如.example.com匹配foo.example.com(当然不仅仅只匹配foo.example.com)。 还有在pg_hba.conf文件中使用主机名的时候你最好能保证主机名的解析比较快一个好的建议就是建立一个本地的域名解析缓存(比如nscd)。 本选项只能在连接方式是host,hostssl或者hostnossl的时候指定。 ip地址(ip-address)、子网掩码(ip-mask) 这两个字段包含可以看成是标准点分十进制表示的 IP地址/掩码值的一个替代。例如。使用255.255.255.0 代表一个24位的子网掩码。它们俩放在一起声明了这条记录匹配的客户机的 IP 地址或者一个IP地址范围。本选项只能在连接方式是host,hostssl或者hostnossl的时候指定。 认证方法authentication method trust 无条件地允许联接这个方法允许任何可以与PostgreSQL 数据库联接的用户以他们期望的任意 PostgreSQL 数据库用户身份进行联接而不需要口令。 reject 联接无条件拒绝常用于从一个组中过滤某些主机。 md5 要求客户端提供一个 MD5 加密的口令进行认证这个方法是允许加密口令存储在pg_shadow里的唯一的一个方法。 password 和md5一样但是口令是以明文形式在网络上传递的我们不应该在不安全的网络上使用这个方式。 gss 使用GSSAPI认证用户这只适用于 TCP/IP 连接。 sspi 使用SSPI认证用户这只适用于 Windows 连接。 peer 获取客户端的操作系统的用户名并判断他是否匹配请求的数据库名这只适用于本地连接。 ldap 使用LDAP服务进行验证。 radius 使用RADIUS服务进行验证。 cert 使用SSL服务进行验证。 pam 使用操作系统提供的可插入的认证模块服务 Pluggable Authentication ModulesPAM来认证。 认证配置(authentication-option) 这个可选的字段的含义取决与选择的认证方法。手册上也没有具体的说明但是给出了如下的例子供参考。 # Allow any user on the local system to connect to any database with
# any database user name using Unix-domain sockets (the default for local
# connections).
#
# TYPE DATABASE USER ADDRESS METHOD
local all all trust# The same using local loopback TCP/IP connections.
#
# TYPE DATABASE USER ADDRESS METHOD
host all all 127.0.0.1/32 trust# The same as the previous line, but using a separate netmask column
#
# TYPE DATABASE USER IP-ADDRESS IP-MASK METHOD
host all all 127.0.0.1 255.255.255.255 trust# The same over IPv6.
#
# TYPE DATABASE USER ADDRESS METHOD
host all all ::1/128 trust# The same using a host name (would typically cover both IPv4 and IPv6).
#
# TYPE DATABASE USER ADDRESS METHOD
host all all localhost trust# Allow any user from any host with IP address 192.168.93.x to connect
# to database postgres as the same user name that ident reports for
# the connection (typically the operating system user name).
#
# TYPE DATABASE USER ADDRESS METHOD
host postgres all 192.168.93.0/24 ident# Allow any user from host 192.168.12.10 to connect to database
# postgres if the users password is correctly supplied.
#
# TYPE DATABASE USER ADDRESS METHOD
host postgres all 192.168.12.10/32 md5# Allow any user from hosts in the example.com domain to connect to
# any database if the users password is correctly supplied.
#
# TYPE DATABASE USER ADDRESS METHOD
host all all .example.com md5# In the absence of preceding host lines, these two lines will
# reject all connections from 192.168.54.1 (since that entry will be
# matched first), but allow GSSAPI connections from anywhere else
# on the Internet. The zero mask causes no bits of the host IP
# address to be considered, so it matches any host.
#
# TYPE DATABASE USER ADDRESS METHOD
host all all 192.168.54.1/32 reject
host all all 0.0.0.0/0 gss# Allow users from 192.168.x.x hosts to connect to any database, if
# they pass the ident check. If, for example, ident says the user is
# bryanh and he requests to connect as PostgreSQL user guest1, the
# connection is allowed if there is an entry in pg_ident.conf for map
# omicron that says bryanh is allowed to connect as guest1.
#
# TYPE DATABASE USER ADDRESS METHOD
host all all 192.168.0.0/16 ident mapomicron# If these are the only three lines for local connections, they will
# allow local users to connect only to their own databases (databases
# with the same name as their database user name) except for administrators
# and members of role support, who can connect to all databases. The file
# $PGDATA/admins contains a list of names of administrators. Passwords
# are required in all cases.
#
# TYPE DATABASE USER ADDRESS METHOD
local sameuser all md5
local all admins md5
local all support md5# The last two lines above can be combined into a single line:
local all admins,support md5# The database column can also use lists and file names:
local db1,db2,demodbs all md5 2.一些tips和建议 pg_hba.conf文件是如此重要我们最好在建立数据库的时候就将它配置好免得后来配置环境时出一些奇奇怪怪的错误。在修改pg_hba.conf文件后一定要记得pg_ctl reload一下。当然还要做好备份。可能是强迫症我每次配置都是尽量最小配置(实际上也应该这么做)比如指定用户名数据库和可访问IP地址的时候就只给最小权限最小范围就好了避免自己误操作是一回事同时把数据库暴露在太多人面前总觉得不安全。对于访问认证的控制除了在pg_hba.conf里面设置外也应该在数据库里再进一步设置比如给某个用户只授予所需的最低权限比如对查询用户就只给所需的某几个数据库数据库的读权限其他的只给数据库表的增删改查权限等这里不赘述。慎用trust认证方式不要怕偷懒输密码对于珍贵的数据来说多小心一点总没错不然的话请阅读《postgresql删库与跑路》(haha,just for fun~),当然实在怕懒可以设置下.pgpass这个文件懂得自然懂。最后对于系统数据库最好还是设置下reject的吧。都不要乱动哈哈。好啦这次就这么多了中午多吃点鼓励下自己。也欢迎各位朋友对我的文章提出自己的宝贵意见感谢~ 转载于:https://www.cnblogs.com/flying-tiger/p/5983588.html
