PostgreSQL在Ubuntu上的安全设置主要包括以下几个方面:
1. 修改默认用户密码
- 修改postgres用户密码:使用
sudo -u postgres psql 进入PostgreSQL交互式命令行,然后执行 ALTER USER postgres WITH PASSWORD 'your_secure_password'; 来修改默认管理员账户密码。
2. 配置远程访问
- 修改监听地址:编辑
/etc/postgresql/<版本>/main/postgresql.conf 文件,将 listen_addresses 设置为 '*' 以允许所有IP访问,或者指定特定IP。 - 配置客户端认证:编辑
/etc/postgresql/<版本>/main/pg_hba.conf 文件,添加规则以允许特定IP地址或IP段通过密码验证连接。
3. 防火墙配置
- 使用ufw配置防火墙:允许PostgreSQL默认端口5432通过防火墙,例如
sudo ufw allow 5432/tcp。
4. SSL加密连接
- 配置SSL/TLS:生成SSL证书和私钥文件,并在PostgreSQL服务器和客户端配置相应的加密设置。
5. 访问控制列表(ACL)配置
- 使用pg_hba.conf配置ACL:在
pg_hba.conf 文件中配置访问控制列表,限制哪些用户可以从哪些IP地址连接到数据库。
6. 定期备份策略
- 定期备份数据库:使用
pg_dump 命令定期备份数据库,确保数据的安全性和可恢复性。
7. 限制不必要的服务和功能
- 禁用不必要的服务和功能:根据实际需求,禁用PostgreSQL服务器上不必要的服务和功能,减少攻击面。
8. 用户权限设置
- 创建新用户并分配权限:在PostgreSQL中创建新的数据库用户,并为该用户分配适当的权限,遵循最小权限原则。
9. 审计日志记录
- 配置审计日志:监控数据库的访问和操作,及时发现异常行为。
10. 更新和打补丁
- 定期更新PostgreSQL:定期更新PostgreSQL数据库服务器和PgAdmin到最新版本,以修复已知的安全漏洞。
11. 使用强密码和多因素认证
- 为PgAdmin和PostgreSQL设置强密码:并定期更换密码,可以考虑使用多因素认证增加安全性。
12. 监控和维护
- 配置监控和日志分析工具:如使用pgBadger日志分析工具,Prometheus+Grafana监控方案,以及定期执行VACUUM维护数据库。
通过上述配置,可以显著提高PostgreSQL在Ubuntu系统下的安全性,保护数据库免受未授权访问和攻击。请注意,安全性是一个持续的过程,需要定期评估和更新配置以应对新的威胁。
