| PostgreSQL: kèo chấp bóng đá | |||
|---|---|---|---|
| prev | UP | Chương 31.libpq- C Thư viện | NEXT |
PostgreSQLCó hỗ trợ gốc để sử dụngSSLKết nối để mã hóa giao tiếp tỷ lệ kèo bóng đá trực tuyến hôm nay khách/tỷ lệ kèo bóng đá trực tuyến hôm nay chủ để tăng bảo mật. Nhìn thấyPhần 17.9Để biết chi tiết về phía tỷ lệ kèo bóng đá trực tuyến hôm nay chủSSLchức năng.
libpqĐọc toàn hệ thốngOpenSSLTệp cấu hình. Theo mặc định, tệp này được đặt tênopenSsl.cnfvà nằm trong thư mục được báo cáo bởiOpenSSL phiên bản -D10339_10406openSSL_confvới tên của tệp cấu hình mong muốn.
Theo mặc định,PostgreSQLsẽ không thực hiện bất kỳ xác minh nào của chứng chỉ tỷ lệ kèo bóng đá trực tuyến hôm nay chủ. Điều này có nghĩa là có thể giả mạo danh tính tỷ lệ kèo bóng đá trực tuyến hôm nay chủ (ví dụ bằng cách sửa đổi bản ghi DNS hoặc bằng cách tiếp quản địa chỉ IP của tỷ lệ kèo bóng đá trực tuyến hôm nay chủ) mà không cần khách hàng biết. Để ngăn chặn giả mạo, tỷ lệ kèo bóng đá trực tuyến hôm nay khách phải có khả năng xác minh danh tính của tỷ lệ kèo bóng đá trực tuyến hôm nay chủ thông qua một chuỗi tin cậy. Một chuỗi niềm tin được thiết lập bằng cách đặt một cơ quan chứng chỉ gốc (tự ký) (CA) Chứng chỉ trên một tỷ lệ kèo bóng đá trực tuyến hôm nay tính và chứng chỉ láĐã kýbằng chứng chỉ gốc trên tỷ lệ kèo bóng đá trực tuyến hôm nay tính khác. Nó cũng có thể sử dụng một"Trung cấp"tỷ lệ kèo bóng đá trực tuyến hôm nay chỉ được ký bởi tỷ lệ kèo bóng đá trực tuyến hôm nay chỉ gốc và tỷ lệ kèo bóng đá trực tuyến hôm nay chỉ Lá có dấu.
Để cho phép tỷ lệ kèo bóng đá trực tuyến hôm nay khách xác minh danh tính của tỷ lệ kèo bóng đá trực tuyến hôm nay chủ, đặt chứng chỉ gốc lên tỷ lệ kèo bóng đá trực tuyến hôm nay khách và chứng chỉ lá được ký bởi chứng chỉ gốc trên tỷ lệ kèo bóng đá trực tuyến hôm nay chủ. Để cho phép tỷ lệ kèo bóng đá trực tuyến hôm nay chủ xác minh danh tính của tỷ lệ kèo bóng đá trực tuyến hôm nay khách, hãy đặt chứng chỉ gốc trên tỷ lệ kèo bóng đá trực tuyến hôm nay chủ và chứng chỉ lá được ký bởi chứng chỉ gốc trên tỷ lệ kèo bóng đá trực tuyến hôm nay khách. Một hoặc nhiều chứng chỉ trung gian (thường được lưu trữ bằng chứng chỉ lá) cũng có thể được sử dụng để liên kết chứng chỉ lá với chứng chỉ gốc.
Một khi một chuỗi niềm tin đã được thiết lập, có hai cách để khách hàng xác nhận chứng chỉ lá do tỷ lệ kèo bóng đá trực tuyến hôm nay chủ gửi. Nếu tham sốSSLModeđược đặt thànhXác minh-CA, LibPQ sẽ xác minh rằng tỷ lệ kèo bóng đá trực tuyến hôm nay chủ đáng tin cậy bằng cách kiểm tra chuỗi chứng chỉ cho đến chứng chỉ gốc được lưu trữ trên tỷ lệ kèo bóng đá trực tuyến hôm nay khách. Nếu nhưSSLModeđược đặt thànhxác minh-đầy đủ, libpq sẽcũngXác minh rằng tên tỷ lệ kèo bóng đá trực tuyến hôm nay chủ tỷ lệ kèo bóng đá trực tuyến hôm nay chủ khớp với tên được lưu trong chứng chỉ tỷ lệ kèo bóng đá trực tuyến hôm nay chủ. Kết nối SSL sẽ không thành công nếu chứng chỉ tỷ lệ kèo bóng đá trực tuyến hôm nay chủ không thể được xác minh.xác minh-đầy đủđược khuyến nghị trong hầu hết các môi trường nhạy cảm bảo mật.
inxác minh-đầy đủMODE, TheCN(Tên chung) thuộc tính của chứng chỉ được khớp với tên tỷ lệ kèo bóng đá trực tuyến hôm nay chủ. NếuCNThuộc tính bắt đầu bằng dấu hoa thị (*), nó sẽ được coi là ký tự đại diện và sẽ phù hợp với tất cả các ký tựngoại trừA DOT (.). Điều này có nghĩa là chứng chỉ sẽ không phù hợp với tên miền phụ. Nếu kết nối được thực hiện bằng địa chỉ IP thay vì tên tỷ lệ kèo bóng đá trực tuyến hôm nay chủ, địa chỉ IP sẽ được khớp (mà không thực hiện bất kỳ tra cứu DNS nào).
Để cho phép xác minh chứng chỉ tỷ lệ kèo bóng đá trực tuyến hôm nay chủ, một hoặc nhiều chứng chỉ gốc phải được đặt trong tệp~/.Postgresql/root.crtTrong thư mục nhà của người dùng. (Trên Microsoft Windows, tệp được đặt tên%appdata%\ postgresql \ root.crt.) Các chứng chỉ trung gian cũng nên được thêm vào tệp nếu cần liên kết chuỗi chứng chỉ được gửi bởi tỷ lệ kèo bóng đá trực tuyến hôm nay chủ với chứng chỉ gốc được lưu trữ trên tỷ lệ kèo bóng đá trực tuyến hôm nay khách.
Danh sách thu hồi tỷ lệ kèo bóng đá trực tuyến hôm nay chỉ (CRL) Các mục cũng được kiểm tra nếu tệp~/.Postgresql/root.crltồn tại (%appdata%\ postgresql \ root.crlTrên Microsoft Windows).
Vị trí của tệp tỷ lệ kèo bóng đá trực tuyến hôm nay chỉ gốc và có thể thay đổi CRL bằng cách đặt các tham số kết nốiSSLROOTCERTvàSSLCRLhoặc các biến môi trườngPGSSLROOTCERTvàPGSSLCRL.
Lưu ý:Để tương thích ngược với các phiên bản trước của PostgreSQL, nếu một tệp Ca gốc tồn tại, hành vi củaSSLMode=Yêu cầusẽ giống nhưXác minh-CA, có nghĩa là chứng chỉ tỷ lệ kèo bóng đá trực tuyến hôm nay chủ được xác nhận đối với ca. Dựa vào hành vi này không được khuyến khích và các ứng dụng cần xác thực chứng chỉ phải luôn luôn sử dụngXác minh-CAhoặcxác minh-đầy đủ.
Nếu tỷ lệ kèo bóng đá trực tuyến hôm nay chủ cố gắng xác minh danh tính của tỷ lệ kèo bóng đá trực tuyến hôm nay khách bằng cách yêu cầu chứng chỉ lá của tỷ lệ kèo bóng đá trực tuyến hôm nay khách,libpqSẽ gửi tỷ lệ kèo bóng đá trực tuyến hôm nay chỉ được lưu trữ trong tệp~/.Postgresql/postgresql.crtTrong thư mục nhà của người dùng. Các chứng chỉ phải chuỗi chứng nhận gốc do tỷ lệ kèo bóng đá trực tuyến hôm nay chủ tin tưởng. Một tệp khóa riêng phù hợp~/.Postgresql/postgresql.keycũng phải có mặt. Tệp khóa riêng không được cho phép bất kỳ quyền truy cập vào thế giới hoặc nhóm; Đạt được điều này bằng lệnhChmod 0600 ~/.Postgresql/postgresql.key. Trên Microsoft Windows, các tệp này được đặt tên%appdata%\ postgresql \ postgresql.crtvà%appdata%\ postgresql \ postgresql.key, và không có kiểm tra quyền đặc biệt vì thư mục được cho là an toàn. Vị trí của tỷ lệ kèo bóng đá trực tuyến hôm nay chỉ và tệp khóa có thể được ghi đè bởi các tham số kết nốiSSLCERTvàsslkeyhoặc các biến môi trườngPGSSLCERTvàPGSSLKey.
tỷ lệ kèo bóng đá trực tuyến hôm nay chỉ đầu tiên trongPostgresql.crtPhải là tỷ lệ kèo bóng đá trực tuyến hôm nay chỉ của khách hàng vì nó phải khớp với khóa riêng của khách hàng."Trung cấp"Chứng chỉ có thể được sử dụng tùy chọn vào tệp - Làm như vậy tránh yêu cầu lưu trữ các chứng chỉ trung gian trên tỷ lệ kèo bóng đá trực tuyến hôm nay chủroot.crtTệp.
Để biết hướng dẫn tạo tỷ lệ kèo bóng đá trực tuyến hôm nay chỉ, xemPhần 17.9.3.
Các giá trị khác nhau choSSLModeTham số cung cấp các mức bảo vệ khác nhau. SSL có thể cung cấp bảo vệ chống lại ba loại tấn công:
Nếu bên thứ ba có thể kiểm tra lưu lượng mạng giữa tỷ lệ kèo bóng đá trực tuyến hôm nay khách và tỷ lệ kèo bóng đá trực tuyến hôm nay chủ, nó có thể đọc cả thông tin kết nối (bao gồm tên người dùng và mật khẩu) và dữ liệu được truyền.SSLSử dụng mã hóa để ngăn chặn điều này.
Nếu bên thứ ba có thể sửa đổi dữ liệu trong khi truyền giữa tỷ lệ kèo bóng đá trực tuyến hôm nay khách và tỷ lệ kèo bóng đá trực tuyến hôm nay chủ, nó có thể giả vờ là tỷ lệ kèo bóng đá trực tuyến hôm nay chủ và do đó xem và sửa đổi dữ liệuNgay cả khi nó được mã hóa. Bên thứ ba sau đó có thể chuyển tiếp thông tin và dữ liệu kết nối đến tỷ lệ kèo bóng đá trực tuyến hôm nay chủ ban đầu, khiến không thể phát hiện cuộc tấn công này. Các vectơ phổ biến để làm điều này bao gồm ngộ độc DNS và chiếm quyền điều khiển địa chỉ, theo đó tỷ lệ kèo bóng đá trực tuyến hôm nay khách được chuyển đến một tỷ lệ kèo bóng đá trực tuyến hôm nay chủ khác so với dự định. Ngoài ra còn có một số phương pháp tấn công khác có thể thực hiện điều này.SSLSử dụng xác minh chứng chỉ để ngăn chặn điều này, bằng cách xác thực tỷ lệ kèo bóng đá trực tuyến hôm nay chủ cho tỷ lệ kèo bóng đá trực tuyến hôm nay khách.
Nếu bên thứ ba có thể giả vờ là một khách hàng được ủy quyền, thì chỉ cần truy cập dữ liệu mà nó không nên có quyền truy cập. Thông thường, điều này có thể xảy ra thông qua quản lý mật khẩu không an toàn.SSLSử dụng chứng chỉ tỷ lệ kèo bóng đá trực tuyến hôm nay khách để ngăn chặn điều này, bằng cách đảm bảo rằng chỉ có chủ chứng chỉ hợp lệ có thể truy cập tỷ lệ kèo bóng đá trực tuyến hôm nay chủ.
Để kết nối được biết đến an toàn, việc sử dụng SSL phải được cấu hình trênCả tỷ lệ kèo bóng đá trực tuyến hôm nay khách và tỷ lệ kèo bóng đá trực tuyến hôm nay chủTrước khi kết nối được thực hiện. Nếu nó chỉ được cấu hình trên tỷ lệ kèo bóng đá trực tuyến hôm nay chủ, tỷ lệ kèo bóng đá trực tuyến hôm nay khách có thể sẽ gửi thông tin nhạy cảm (ví dụ: mật khẩu) trước khi biết rằng tỷ lệ kèo bóng đá trực tuyến hôm nay chủ yêu cầu bảo mật cao. Trong libpq, các kết nối an toàn có thể được đảm bảo bằng cách đặtSSLModetham số đếnxác minh-đầy đủhoặcXác minh-CA, và cung cấp cho hệ thống một tỷ lệ kèo bóng đá trực tuyến hôm nay chỉ gốc để xác minh chống lại. Điều này tương tự như sử dụnghttps urlđể duyệt web được mã hóa.
Một khi tỷ lệ kèo bóng đá trực tuyến hôm nay chủ đã được xác thực, tỷ lệ kèo bóng đá trực tuyến hôm nay khách có thể truyền dữ liệu nhạy cảm. Điều này có nghĩa là cho đến thời điểm này, tỷ lệ kèo bóng đá trực tuyến hôm nay khách không cần biết liệu chứng chỉ sẽ được sử dụng để xác thực, giúp việc chỉ định rằng chỉ trong cấu hình tỷ lệ kèo bóng đá trực tuyến hôm nay chủ.
tất cảSSLTùy chọn mang trên đầu dưới dạng mã hóa và trao đổi khóa, do đó, có một sự đánh đổi phải được thực hiện giữa hiệu suất và bảo mật.Bảng 31-1Minh họa các rủi ro khác nhauSSLModeGiá trị bảo vệ chống lại và tuyên bố nào họ đưa ra về bảo mật và chi phí.
Bảng 31-1. Mô tả chế độ SSL
| SSLMode | Bảo vệ nghe lén | MITMBảo vệ | câu lệnh |
|---|---|---|---|
| vô hiệu hóa | Không | Không | Tôi không quan tâm đến bảo mật và tôi không muốn trả chi phí mã hóa. |
| cho phép | có thể | không | Tôi không quan tâm đến bảo mật, nhưng tôi sẽ trả chi phí mã hóa nếu tỷ lệ kèo bóng đá trực tuyến hôm nay chủ nhấn mạnh vào nó. |
| ưa thích | có thể | không | Tôi không quan tâm đến mã hóa, nhưng tôi muốn trả chi phí mã hóa nếu tỷ lệ kèo bóng đá trực tuyến hôm nay chủ hỗ trợ nó. |
| Yêu cầu | Có | Không | Tôi muốn dữ liệu của mình được mã hóa và tôi chấp nhận chi phí. Tôi tin rằng mạng sẽ đảm bảo tôi luôn kết nối với tỷ lệ kèo bóng đá trực tuyến hôm nay chủ tôi muốn. |
| Xác minh-CA | Có | phụ thuộc vào chính sách CA | Tôi muốn dữ liệu của mình được mã hóa và tôi chấp nhận chi phí. Tôi muốn chắc chắn rằng tôi kết nối với một tỷ lệ kèo bóng đá trực tuyến hôm nay chủ mà tôi tin tưởng. |
| xác minh-đầy đủ | Có | Có | Tôi muốn dữ liệu của mình được mã hóa và tôi chấp nhận chi phí. Tôi muốn chắc chắn rằng tôi kết nối với một tỷ lệ kèo bóng đá trực tuyến hôm nay chủ mà tôi tin tưởng và đó là cái tôi chỉ định. |
Sự khác biệt giữaXác minh-CAvàxác minh-đầy đủphụ thuộc vào chính sách của gốcCA. Nếu một công khaiCAđược sử dụng,Xác minh-CACho phép kết nối với tỷ lệ kèo bóng đá trực tuyến hôm nay chủAi đó khácCó thể đã đăng ký vớiCA. Trong trường hợp này,xác minh-đầy đủKhông nên luôn luôn được sử dụng. Nếu một địa phươngCAđược sử dụng hoặc thậm chí là tỷ lệ kèo bóng đá trực tuyến hôm nay chỉ tự ký, sử dụngXác minh-CAthường cung cấp đủ bảo vệ.
Giá trị mặc định choSSLModelàưa thích. Như được hiển thị trong bảng, điều này không có ý nghĩa gì từ quan điểm bảo mật và nó chỉ hứa hẹn hiệu suất chi phí nếu có thể. Nó chỉ được cung cấp dưới dạng mặc định cho khả năng tương thích ngược và không được khuyến nghị trong triển khai an toàn.
Bảng 31-2Tóm tắt các tệp có liên quan đến thiết lập SSL trên tỷ lệ kèo bóng đá trực tuyến hôm nay khách.
Bảng 31-2. LIBPQ/CLIENT SSL sử dụng tệp
| FILE | Nội dung | Hiệu ứng |
|---|---|---|
| ~/.Postgresql/postgresql.crt | Chứng chỉ tỷ lệ kèo bóng đá trực tuyến hôm nay khách | Được yêu cầu bởi tỷ lệ kèo bóng đá trực tuyến hôm nay chủ |
| ~/.Postgresql/postgresql.key | khóa riêng của tỷ lệ kèo bóng đá trực tuyến hôm nay khách | tỷ lệ kèo bóng đá trực tuyến hôm nay minh tỷ lệ kèo bóng đá trực tuyến hôm nay chỉ khách hàng được gửi bởi chủ sở hữu; không cho biết chủ sở hữu tỷ lệ kèo bóng đá trực tuyến hôm nay chỉ là đáng tin cậy |
| ~/.Postgresql/root.crt | Cơ quan tỷ lệ kèo bóng đá trực tuyến hôm nay chỉ đáng tin cậy | Kiểm tra xem chứng chỉ tỷ lệ kèo bóng đá trực tuyến hôm nay chủ có được ký bởi cơ quan chứng chỉ đáng tin cậy |
| ~/.Postgresql/root.crl | tỷ lệ kèo bóng đá trực tuyến hôm nay chỉ bị thu hồi bởi cơ quan tỷ lệ kèo bóng đá trực tuyến hôm nay chỉ | Chứng chỉ tỷ lệ kèo bóng đá trực tuyến hôm nay chủ không được có trong danh sách này |
Nếu ứng dụng của bạn khởi tạolibsslvà/hoặclibcryptoThư viện vàlibpqđược xây dựng vớiSSLHỗ trợ, bạn nên gọipqinitopensslđể nóilibpqrằnglibsslvà/hoặclibcryptoThư viện đã được ứng dụng của bạn khởi tạo, đểlibpqcũng sẽ không khởi tạo các thư viện đó. Nhìn thấyhttp: //h41379.www4.hpe.com/doc/83final/ba554_90007/ch04.htmlĐể biết chi tiết về API SSL.
pqinitopensslCho phép các ứng dụng chọn thư viện bảo mật nào để khởi tạo.
void pqinitopenssl (int do_ssl, int do_crypto);
khiDO_SSLlà không khác,libpqSẽ khởi tạoOpenSSLThư viện trước khi mở kết nối cơ sở dữ liệu. Khido_cryptolà khác không,libcryptoThư viện sẽ được khởi tạo. Theo mặc định (nếupqinitopensslkhông được gọi), cả hai thư viện đều được khởi tạo. Khi tỷ lệ kèo bóng đá trực tuyến hôm nay không được biên dịch, chức năng này có mặt nhưng không làm gì cả.
Nếu ứng dụng của bạn sử dụng và khởi tạoOpenSSLhoặc cơ bản của nólibcryptoThư viện, bạnphảiGọi chức năng này với số 0 cho (các) tham số thích hợp trước khi mở kết nối cơ sở dữ liệu lần đầu tiên. Ngoài ra, hãy chắc chắn rằng bạn đã thực hiện khởi tạo đó trước khi mở kết nối cơ sở dữ liệu.
pqinitsslCho phép các ứng dụng chọn thư viện bảo mật nào để khởi tạo.
void pqinitssl (int do_ssl);
Hàm này tương đương vớipqinitopenssl (DO_SSL, DO_SSL). Nó đủ cho các ứng dụng khởi tạo cả hoặc khôngOpenSSLvàlibcrypto.
pqinitsslđã có mặt từPostgreSQL8.0, trong khipqinitopensslđã được thêm vàoPostgreSQL8.4, vì vậyPQINitsSLCó thể thích hợp hơn cho các ứng dụng cần làm việc với các phiên bản cũ hơn củalibpq.