Início / dba / Perguntas / 8580
Accepted
KajMagnus
Asked: 2011-11-30 19:59:20 +0800 CST

Forçar clientes PostgreSQL a usar SSL?

  • 772

Eu configurei ssl = on( postgresql.confe instalei um certificado etcetera). Isso garante que todos os clientes sempre se conectarão por SSL?

(Ou seja ssl = on, torna impossível conectar-se sem criptografia SSL?)

Existem outras maneiras de garantir que todos os clientes sempre se conectem por SSL/TLS?

postgresql

3 respostas

  1. Best Answer

    ssl = onapenas permite a possibilidade de usar SSL.

    Para garantir que todos os clientes estejam usando SSL, adicione hostssllinhas em pg_hba.conf, por exemplo,

    hostssl  all  all  0.0.0.0/0  md5

    e remova todas as hostlinhas. (Bem, talvez guarde os para localhost.)

    Se o desejo é forçar o cliente a enviar um certificado, então md5deve ser alterado para cert. por exemplo,

    hostssl  all  all  0.0.0.0/0  cert
    • 42

  2. Não, isso simplesmente permite o uso de SSL. Você também precisa fazer as alterações apropriadas em seu arquivo pg_hga.conf .

    • 15

  3. Apenas FYI, tente evitar fazer conexões sem senhas. Uma das escolhas mais fortes seria ssl (modo de verificação completa) + autenticação de senha (criptografada com scram-sha-256).

    Seu pg_hba.conf poderia ser assim:

    hostssl  all  all  0.0.0.0/0  scram-sha-256 clientcert=verify-full
    • 0

relate perguntas