| PostgreSQL: kèo bóng đá hôm | |||
|---|---|---|---|
| prev | UP | Chương 32.libpq- C Thư viện | NEXT |
PostgreSQLCó hỗ trợ gốc để sử dụngPostgreSQL: Tài liệu:Kết nối để mã hóa giao tiếp kèo bóng đá việt nam khách/kèo bóng đá việt nam chủ để tăng bảo mật. Nhìn thấyPhần 18.9Để biết chi tiết về phía kèo bóng đá việt nam chủkèo bóng đá việt namchức năng.
libpqĐọc toàn hệ thốngOpenSSLTệp cấu hình. Theo mặc định, tệp này được đặt tênopenSsl.cnfvà nằm trong thư mục được báo cáo bởiOpenSSL phiên bản -D10339_10406openSSL_confvới tên của tệp cấu hình mong muốn.
Theo mặc định,PostgreSQLsẽ không thực hiện bất kỳ xác minh nào của chứng chỉ kèo bóng đá việt nam chủ. Điều này có nghĩa là có thể giả mạo danh tính kèo bóng đá việt nam chủ (ví dụ bằng cách sửa đổi bản ghi DNS hoặc bằng cách tiếp quản địa chỉ IP của kèo bóng đá việt nam chủ) mà không cần khách hàng biết.CA) Chứng chỉ trên một kèo bóng đá việt nam tính và chứng chỉ láĐã kýbằng chứng chỉ gốc trên kèo bóng đá việt nam tính khác. Nó cũng có thể sử dụng một"Trung cấp"kèo bóng đá việt nam chỉ được ký bởi kèo bóng đá việt nam chỉ gốc và kèo bóng đá việt nam chỉ Lá có dấu.
Để cho phép kèo bóng đá việt nam khách xác minh danh tính của kèo bóng đá việt nam chủ, đặt chứng chỉ gốc lên kèo bóng đá việt nam khách và chứng chỉ lá được ký bởi chứng chỉ gốc trên kèo bóng đá việt nam chủ. Để cho phép kèo bóng đá việt nam chủ xác minh danh tính của kèo bóng đá việt nam khách, hãy đặt chứng chỉ gốc trên kèo bóng đá việt nam chủ và chứng chỉ lá được ký bởi chứng chỉ gốc trên kèo bóng đá việt nam khách.
Một khi một chuỗi niềm tin đã được thiết lập, có hai cách để khách hàng xác nhận chứng chỉ lá do kèo bóng đá việt nam chủ gửi. Nếu tham sốSSLModeđược đặt thànhXác minh-CA, LibPQ sẽ xác minh rằng kèo bóng đá việt nam chủ đáng tin cậy bằng cách kiểm tra chuỗi chứng chỉ cho đến chứng chỉ gốc được lưu trữ trên kèo bóng đá việt nam khách. Nếu nhưSSLModeđược đặt thànhxác minh-đầy đủ, libpq sẽcũngXác minh rằng tên máy chủ máy chủ khớp với tên được lưu trong chứng chỉ máy chủ. Kết nối kèo bóng đá việt nam sẽ không thành công nếu chứng chỉ máy chủ không thể được xác minh.xác minh-đầy đủđược khuyến nghị trong hầu hết các môi trường nhạy cảm bảo mật.
inxác minh-đầy đủMODE, tên kèo bóng đá việt nam chủ được khớp với (các) thuộc tính tên thay thế của chứng chỉ hoặc đối với thuộc tính tên chung nếu không có tên thay thế nào của loạidnsnamecó mặt. Nếu thuộc tính tên của kèo bóng đá việt nam chỉ bắt đầu bằng dấu hoa thị (*), Asterisk sẽ được coi là ký tự đại diện, sẽ phù hợp với tất cả các ký tựngoại trừA DOT (.). Điều này có nghĩa là kèo bóng đá việt nam chỉ sẽ không phù hợp với tên miền phụ.
Để cho phép xác minh chứng chỉ kèo bóng đá việt nam chủ, một hoặc nhiều chứng chỉ gốc phải được đặt trong tệp~/.Postgresql/root.crtTrong thư mục nhà của người dùng. (Trên Microsoft Windows, tệp được đặt tên%appdata%\ postgresql \ root.crt.) Các chứng chỉ trung gian cũng nên được thêm vào tệp nếu cần liên kết chuỗi chứng chỉ được gửi bởi kèo bóng đá việt nam chủ với chứng chỉ gốc được lưu trữ trên kèo bóng đá việt nam khách.
Mục nhập Revocation (CRL) của kèo bóng đá việt nam chỉ cũng được kiểm tra nếu tệp~/.Postgresql/root.crltồn tại (%appdata%\ postgresql \ root.crlTrên Microsoft Windows).
Vị trí của tệp kèo bóng đá việt nam chỉ gốc và có thể thay đổi CRL bằng cách đặt các tham số kết nốiSSLROOTCERTvàSSLCRLhoặc các biến môi trườngPGSSLROOTCERTvàPGSSLCRL.
Lưu ý:Để tương thích ngược với các phiên bản trước của PostgreSQL, nếu một tệp Ca gốc tồn tại, hành vi củaSSLMode=Yêu cầusẽ giống nhưXác minh-CA, có nghĩa là chứng chỉ kèo bóng đá việt nam chủ được xác nhận đối với ca. Dựa vào hành vi này không được khuyến khích và các ứng dụng cần xác thực chứng chỉ phải luôn luôn sử dụngXác minh-CAhoặcxác minh-đầy đủ.
Nếu kèo bóng đá việt nam chủ cố gắng xác minh danh tính của kèo bóng đá việt nam khách bằng cách yêu cầu chứng chỉ lá của kèo bóng đá việt nam khách,libpqsẽ gửi kèo bóng đá việt nam chỉ được lưu trữ trong tệp~/.Postgresql/postgresql.crtTrong thư mục nhà của người dùng. Các chứng chỉ phải chuỗi chứng nhận gốc do kèo bóng đá việt nam chủ tin tưởng.~/.Postgresql/postgresql.keycũng phải có mặt. Tệp khóa riêng không được cho phép bất kỳ quyền truy cập vào thế giới hoặc nhóm;CHMOD 0600 ~/.. Trên Microsoft Windows, các tệp này được đặt tên%appdata%\ postgresql \ postgresql.crtvà%appdata%\ postgresql \ postgresql.key, và không có kiểm tra quyền đặc biệt vì thư mục được cho là an toàn. Vị trí của kèo bóng đá việt nam chỉ và tệp khóa có thể được ghi đè bởi các tham số kết nốiSSLCERTvàsslkeyhoặc các biến môi trườngPGSSLCERTvàPGSSLKey.
kèo bóng đá việt nam chỉ đầu tiên trongPostgresql.Crtphải là kèo bóng đá việt nam chỉ của khách hàng vì nó phải khớp với khóa riêng của khách hàng."Trung cấp"Chứng chỉ có thể được sử dụng tùy chọn vào tệp - Làm như vậy tránh yêu cầu lưu trữ chứng chỉ trung gian trên kèo bóng đá việt nam chủroot.crtTệp.
Để biết hướng dẫn tạo kèo bóng đá việt nam chỉ, xemPhần 18.9.3.
Các giá trị khác nhau choSSLModeTham số cung cấp các mức bảo vệ khác nhau. kèo bóng đá việt nam có thể cung cấp bảo vệ chống lại ba loại tấn công:
Nếu bên thứ ba có thể kiểm tra lưu lượng mạng giữa kèo bóng đá việt nam khách và kèo bóng đá việt nam chủ, nó có thể đọc cả thông tin kết nối (bao gồm tên người dùng và mật khẩu) và dữ liệu được truyền.kèo bóng đá việt namsử dụng mã hóa để ngăn chặn điều này.
Nếu bên thứ ba có thể sửa đổi dữ liệu trong khi truyền giữa kèo bóng đá việt nam khách và kèo bóng đá việt nam chủ, nó có thể giả vờ là kèo bóng đá việt nam chủ và do đó xem và sửa đổi dữ liệuNgay cả khi nó được mã hóa. Bên thứ ba sau đó có thể chuyển tiếp thông tin và dữ liệu kết nối đến kèo bóng đá việt nam chủ ban đầu, khiến không thể phát hiện cuộc tấn công này.kèo bóng đá việt namSử dụng xác minh chứng chỉ để ngăn chặn điều này, bằng cách xác thực kèo bóng đá việt nam chủ cho kèo bóng đá việt nam khách.
Nếu bên thứ ba có thể giả vờ là một khách hàng được ủy quyền, nó chỉ có thể truy cập dữ liệu mà nó không nên có quyền truy cập. Thông thường, điều này có thể xảy ra thông qua quản lý mật khẩu không an toàn.kèo bóng đá việt namSử dụng chứng chỉ kèo bóng đá việt nam khách để ngăn chặn điều này, bằng cách đảm bảo rằng chỉ có chủ chứng chỉ hợp lệ có thể truy cập kèo bóng đá việt nam chủ.
Để kết nối được biết đến an toàn, việc sử dụng kèo bóng đá việt nam phải được cấu hình trênCả kèo bóng đá việt nam khách và kèo bóng đá việt nam chủTrước khi kết nối được thực hiện. Nếu nó chỉ được cấu hình trên kèo bóng đá việt nam chủ, kèo bóng đá việt nam khách có thể sẽ gửi thông tin nhạy cảm (ví dụ: mật khẩu) trước khi biết rằng kèo bóng đá việt nam chủ yêu cầu bảo mật cao.SSLModetham số đếnxác minh-đầy đủhoặcXác minh-CA, và cung cấp cho hệ thống một kèo bóng đá việt nam chỉ gốc để xác minh chống lại. Điều này tương tự như sử dụnghttps urlcho duyệt web được mã hóa.
Một khi kèo bóng đá việt nam chủ đã được xác thực, kèo bóng đá việt nam khách có thể truyền dữ liệu nhạy cảm. Điều này có nghĩa là cho đến thời điểm này, kèo bóng đá việt nam khách không cần biết liệu chứng chỉ sẽ được sử dụng để xác thực, giúp việc chỉ định rằng chỉ trong cấu hình kèo bóng đá việt nam chủ.
tất cảkèo bóng đá việt namTùy chọn mang theo trên đầu dưới dạng mã hóa và trao đổi khóa, do đó, có một sự đánh đổi phải được thực hiện giữa hiệu suất và bảo mật.Bảng 32-1minh họa các rủi ro khác nhauSSLModeGiá trị bảo vệ chống lại và tuyên bố nào họ đưa ra về bảo mật và chi phí.
Bảng 32-1. Mô tả chế độ kèo bóng đá việt nam
| SSLMode | Bảo vệ không có lỗi | MITMBảo vệ | câu lệnh |
|---|---|---|---|
| vô hiệu hóa | không | không | Tôi không quan tâm đến bảo mật và tôi không muốn trả chi phí mã hóa. |
| cho phép | có thể | không | Tôi không quan tâm đến bảo mật, nhưng tôi sẽ trả chi phí mã hóa nếu kèo bóng đá việt nam chủ nhấn mạnh vào nó. |
| ưa thích | có thể | Không | Tôi không quan tâm đến mã hóa, nhưng tôi muốn trả chi phí mã hóa nếu kèo bóng đá việt nam chủ hỗ trợ nó. |
| Yêu cầu | Có | Không | Tôi muốn dữ liệu của mình được mã hóa và tôi chấp nhận chi phí. Tôi tin rằng mạng sẽ đảm bảo tôi luôn kết nối với kèo bóng đá việt nam chủ tôi muốn. |
| Xác minh-CA | Có | phụ thuộc vào CA-Policy | Tôi muốn dữ liệu của mình được mã hóa và tôi chấp nhận chi phí. Tôi muốn chắc chắn rằng tôi kết nối với một kèo bóng đá việt nam chủ mà tôi tin tưởng. |
| xác minh-đầy đủ | Có | Có | Tôi muốn dữ liệu của mình được mã hóa và tôi chấp nhận chi phí. Tôi muốn chắc chắn rằng tôi kết nối với một kèo bóng đá việt nam chủ mà tôi tin tưởng và đó là cái tôi chỉ định. |
Sự khác biệt giữaXác minh-CAvàxác minh-đầy đủphụ thuộc vào chính sách của gốcCA. Nếu một công khaiCAđược sử dụng,Xác minh-CACho phép kết nối với kèo bóng đá việt nam chủAi đó kháccó thể đã đăng ký vớiCA. Trong trường hợp này,xác minh-đầy đủnên luôn luôn được sử dụng. Nếu một địa phươngCAđược sử dụng hoặc thậm chí là kèo bóng đá việt nam chỉ tự ký, sử dụngXác minh-CAthường cung cấp đủ bảo vệ.
Giá trị mặc định choSSLModelàưa thích. Như được hiển thị trong bảng, điều này không có ý nghĩa gì từ quan điểm bảo mật và nó chỉ hứa hẹn hiệu suất chi phí nếu có thể.
Bảng 32-2Tóm tắt các tệp có liên quan đến thiết lập kèo bóng đá việt nam trên máy khách.
Bảng 32-2. LIBPQ/CLIENT kèo bóng đá việt nam sử dụng tệp
| FILE | Nội dung | Hiệu ứng |
|---|---|---|
| ~/.Postgresql/postgresql.crt | Chứng chỉ kèo bóng đá việt nam khách | Đã gửi đến kèo bóng đá việt nam chủ |
| ~/.Postgresql/postgresql.key | khóa riêng của kèo bóng đá việt nam khách | kèo bóng đá việt nam minh kèo bóng đá việt nam chỉ khách hàng được gửi bởi chủ sở hữu; không cho biết chủ sở hữu kèo bóng đá việt nam chỉ là đáng tin cậy |
| ~/.Postgresql/root.crt | Cơ quan kèo bóng đá việt nam chỉ đáng tin cậy | Kiểm tra xem chứng chỉ kèo bóng đá việt nam chủ có được ký bởi cơ quan chứng chỉ đáng tin cậy |
| ~/.Postgresql/root.crl | kèo bóng đá việt nam chỉ bị thu hồi bởi cơ quan kèo bóng đá việt nam chỉ | Chứng chỉ kèo bóng đá việt nam chủ không được có trong danh sách này |
Nếu ứng dụng của bạn khởi tạoLIBSSLvà/hoặclibcryptoThư viện vàlibpqđược xây dựng vớikèo bóng đá việt namHỗ trợ, bạn nên gọipqinitopensslđể nóilibpqrằnglibsslvà/hoặclibcryptoThư viện đã được khởi tạo bởi ứng dụng của bạn, đểlibpqcũng sẽ không khởi tạo các thư viện đó.
pqinitopensslCho phép các ứng dụng chọn thư viện bảo mật nào để khởi tạo.
void pqinitopenssl (int do_ssl, int do_crypto);
KhiDO_SSLlà không,libpqSẽ khởi tạoOpenSSLThư viện trước khi mở kết nối cơ sở dữ liệu. KhiDO_CRYPTOlà khác không,libcryptoThư viện sẽ được khởi tạo. Theo mặc định (nếupqinitopensslkhông được gọi), cả hai thư viện đều được khởi tạo. Khi hỗ trợ kèo bóng đá việt nam không được biên dịch, chức năng này có mặt nhưng không làm gì cả.
Nếu ứng dụng của bạn sử dụng và khởi tạoOpenSSLhoặc cơ bản của nólibcryptoThư viện, bạnphảiGọi chức năng này với số 0 cho (các) tham số thích hợp trước khi mở kết nối cơ sở dữ liệu lần đầu tiên. Ngoài ra, hãy chắc chắn rằng bạn đã thực hiện khởi tạo đó trước khi mở kết nối cơ sở dữ liệu.
pqinitsslCho phép các ứng dụng chọn thư viện bảo mật nào để khởi tạo.
void pqinitssl (int do_ssl);
Hàm này tương đương vớipqinitopenssl (do_ssl, do_ssl). Nó đủ cho các ứng dụng khởi tạo cả hoặc khôngOpenSSLvàlibcrypto.
pqinitsslđã có mặt từPostgreSQL8.0, trong khipqinitopensslđã được thêm vàoPostgreSQL8.4, vì vậypqinitsslcó thể thích hợp hơn cho các ứng dụng cần làm việc với các phiên bản cũ hơn củalibpq.