Trong khi kèo bóng đá c1 chủ đang chạy, người dùng độc hại không thể thay thế kèo bóng đá c1 chủ cơ sở dữ liệu thông thường. Tuy nhiên, khi kèo bóng đá c1 chủ bị hỏng, người dùng cục bộ có thể giả mạo kèo bóng đá c1 chủ thông thường bằng cách khởi động kèo bóng đá c1 chủ của riêng họ.pgdataThư mục vẫn sẽ được bảo mật vì quyền thư mục. Giả mạo là có thể vì bất kỳ người dùng nào cũng có thể khởi động kèo bóng đá c1 chủ cơ sở dữ liệu;

Một cách để tránh giả kèo bóng đá c1cục bộKết nối là sử dụng thư mục ổ cắm miền UNIX (unix_socket_directories) chỉ có quyền ghi cho người dùng địa phương đáng tin cậy. Điều này ngăn người dùng độc hại tạo tệp ổ cắm của riêng họ trong thư mục đó./TMPĐối với tệp ổ cắm và do đó dễ bị giả kèo bóng đá c1, trong quá trình khởi động hệ điều hành, hãy tạo một liên kết tượng trưng/tmp/.s.pgsql.5432chỉ vào tệp ổ cắm được di dời. Bạn cũng có thể cần phải sửa đổi của bạn/TMPTập lệnh dọn dẹp để ngăn kèo bóng đá c1 việc xóa liên kết tượng trưng.

Tùy chọn khác chocục bộKết nối dành cho kèo bóng đá c1 khách sử dụngYêu cầuĐể chỉ định chủ sở hữu yêu cầu của quy trình kèo bóng đá c1 chủ được kết nối với ổ cắm.

11686_11886

Để tránh giả mạo với SSL, kèo bóng đá c1 chủ phải được cấu hình chỉ để chấp nhậnhostsslKết nối (Phần 21.1) và có khóa SSL và các tệp chứng chỉ (Phần 19.9). kèo bóng đá c1 khách TCP phải kết nối bằngsslMode = xác minh-cahoặcxác minh-đầy đủvà cài đặt tệp chứng chỉ gốc thích hợp (Phần 34.19.1). Ngoài raSystem Ca Pool, theo định nghĩa của việc triển khai SSL, có thể được sử dụng bằng cách sử dụngsslrootcert = System; Trong trường hợp này,sslMode = xác minh-fullbị buộc phải an toàn, vì thường việc có được các chứng chỉ được ký bởi một ca. công cộng

Để ngăn chặn giả mạo kèo bóng đá c1 chủ xảy ra khi sử dụngPostgresql: TàiXác thực mật khẩu qua mạng, bạn nên đảm bảo rằng bạn kết nối với kèo bóng đá c1 chủ bằng SSL và với một trong các phương thức chống giả mạo được mô tả trong đoạn trước. Ngoài ra, việc triển khai Scram tronglibpqKhông thể bảo vệ toàn bộ trao đổi xác thực, nhưng sử dụngChannel_binding = Yêu cầuTham số kết nối cung cấp giảm thiểu đối với giả mạo kèo bóng đá c1 chủ. Kẻ tấn công sử dụng kèo bóng đá c1 chủ lừa đảo để chặn trao đổi scram có thể sử dụng phân tích ngoại tuyến để có khả năng xác định mật khẩu băm từ kèo bóng đá c1 khách.

Để tránh giả mạo với GSSAPI, kèo bóng đá c1 chủ phải được cấu hình để chỉ chấp nhậnHostGssENCKết nối (Phần 21.1) và sử dụngGSSXác thực với họ. kèo bóng đá c1 khách TCP phải kết nối bằnggssencmode = yêu cầu.