ngày 8 tháng 5 năm 2025:Postgresql 17.5, 16.9, 15,13, ​​14,18 và 13,21 được phát hành! | Postgresql 18 beta 1 được phát hành!
Phiên bản được hỗ trợ:hiện tại(17)16 / 15 / 14 / 13
Phiên bản phát triển:18 / Devel
Phiên bản không được hỗ trợ:12 / 11 / 10 / 9.6 / 9.5 / 9.4 / 9.3 / 9.2 / 9.1 / 9.0 / 8.4 / 8.3
Tài liệu này dành cho phiên bản không được hỗ trợ của PostgreSQL.
Bạn có thể muốn xem cùng một trang chohiện tạiPhiên bản hoặc một trong các phiên bản được hỗ trợ khác được liệt kê ở trên thay thế.
18.7. Ngăn chặn giả mạo kèo bóng đá cúp c2 chủ
prev UP Chương 18. Thiết lập và vận hành kèo bóng đá cúp c2 chủ Trang chủ NEXT

18.7. Ngăn chặn giả mạo kèo bóng đá cúp c2 chủ#

Trong khi kèo bóng đá cúp c2 chủ đang chạy, người dùng độc hại không thể thay thế kèo bóng đá cúp c2 chủ cơ sở dữ liệu thông thường. Tuy nhiên, khi kèo bóng đá cúp c2 chủ bị hỏng, người dùng cục bộ có thể giả mạo kèo bóng đá cúp c2 chủ thông thường bằng cách khởi động kèo bóng đá cúp c2 chủ của riêng họ.PGDATAThư mục vẫn sẽ được bảo mật vì quyền thư mục. Giả mạo là có thể vì bất kỳ người dùng nào cũng có thể khởi động kèo bóng đá cúp c2 chủ cơ sở dữ liệu;

Một cách để tránh giả kèo bóng đá cúp c2cục bộKết nối là sử dụng thư mục ổ cắm miền UNIX (unix_socket_directories) Chỉ có quyền ghi cho người dùng địa phương đáng tin cậy. Điều này ngăn người dùng độc hại tạo tệp ổ cắm của riêng họ trong thư mục đó./TMPĐối với tệp ổ cắm và do đó dễ bị giả kèo bóng đá cúp c2, trong quá trình khởi động hệ điều hành, hãy tạo một liên kết tượng trưng/tmp/.s.pgsql.5432chỉ vào tệp ổ cắm được di dời. Bạn cũng có thể cần phải sửa đổi của bạn/TMPtập lệnh dọn dẹp để ngăn kèo bóng đá cúp c2 việc loại bỏ liên kết tượng trưng.

Tùy chọn khác chocục bộKết nối dành cho kèo bóng đá cúp c2 khách sử dụngYêu cầuĐể chỉ định chủ sở hữu yêu cầu của quy trình kèo bóng đá cúp c2 chủ được kết nối với ổ cắm.

Để tránh giả mạo trên các kết nối TCP, sử dụng chứng chỉ SSL và đảm bảo rằng kèo bóng đá cúp c2 khách kiểm tra chứng chỉ của kèo bóng đá cúp c2 chủ hoặc sử dụng mã hóa GSSAPI (hoặc cả hai, nếu chúng trên các kết nối riêng biệt).

Để tránh giả mạo với SSL, kèo bóng đá cúp c2 chủ phải được cấu hình để chỉ chấp nhậnhostsslKết nối (Phần 20.1) và có khóa SSL và các tệp chứng chỉ (Phần 18.9). kèo bóng đá cúp c2 khách TCP phải kết nối bằngsslMode = xác minh-cahoặcxác minh-đầy đủvà cài đặt tệp chứng chỉ gốc thích hợp (Phần 32.19.1). Ngoài raSystem Ca Pool, theo định nghĩa của việc triển khai SSL, có thể được sử dụng bằng cách sử dụngsslrootcert = System; Trong trường hợp này,sslMode = xác minh-fullbị buộc phải an toàn, vì thường việc có được các chứng chỉ được ký bởi một ca. công cộng

Để ngăn chặn giả mạo kèo bóng đá cúp c2 chủ xảy ra khi sử dụngScram-Sha-256Xác thực mật khẩu qua mạng, bạn nên đảm bảo rằng bạn kết nối với kèo bóng đá cúp c2 chủ bằng SSL và với một trong các phương thức chống giả mạo được mô tả trong đoạn trước. Ngoài ra, việc triển khai Scram tronglibpqKhông thể bảo vệ toàn bộ trao đổi xác thực, nhưng sử dụngChannel_binding = Yêu cầuTham số kết nối cung cấp giảm thiểu đối với giả mạo kèo bóng đá cúp c2 chủ. Kẻ tấn công sử dụng kèo bóng đá cúp c2 chủ lừa đảo để chặn trao đổi scram có thể sử dụng phân tích ngoại tuyến để có khả năng xác định mật khẩu băm từ kèo bóng đá cúp c2 khách.

Để tránh giả mạo với GSSAPI, kèo bóng đá cúp c2 chủ phải được cấu hình để chỉ chấp nhậnHostGssENCKết nối (Phần 20.1) và sử dụngGSSXác thực với họ. kèo bóng đá cúp c2 khách TCP phải kết nối bằnggssencmode = yêu cầu.

prev UP NEXT
18.6. Nâng cấp APostgreSQLcụm Trang chủ 18.8.