PostgreSQL数据库安全加固——配置访问控制策略

-- 配置PostgreSQL的访问控制策略
 
-- 1. 设置本地连接的认证方式为peer（或ident，如果系统用户和数据库用户一致）
ALTER USER postgres WITH pg_hba.conf='local peer';
 
-- 2. 为特定数据库设置合适的访问权限
-- 允许指定IP的访问
HOST db_name db_user 192.168.1.1/32 md5
-- 或者使用connlimit来限制连接数量
HOST db_name db_user 192.168.1.1/32 md5 connlimit 4
 
-- 3. 使用TLS加密所有网络通信
-- 在pg_hba.conf中添加以下行
# TYPE  DATABASE        USER            ADDRESS                 METHOD
host    all             all             0.0.0.0/0               md5  ssl
host    all             all             ::1/128                 md5  ssl
 
-- 4. 设置密码复杂度和过期时间
-- 通过ALTER ROLE来设置密码策略
ALTER ROLE db_user WITH password_encryption 'scram-sha-256' password_history 3 password_expiration '30 days';
 
-- 5. 定期更改管理员密码
-- 使用ALTER ROLE更改密码
ALTER ROLE admin_role WITH PASSWORD 'new_secure_password';
 
-- 6. 审计和日志记录
-- 开启审计功能
ALTER SYSTEM SET audit_logging = 'on';
-- 重新加载配置
SELECT pg_reload_conf();
 
-- 7. 限制特定用户的连接速率
-- 使用pg_hba.conf限制连接速率
local    all             postgres                                md5  rate_limit=5
host      all             postgres        127.0.0.1/32         md5  rate_limit=5
host      all             postgres        ::1/128               md5  rate_limit=5

这个例子展示了如何通过修改pg_hba.conf文件和使用SQL命令来配置PostgreSQL的访问控制策略。这些策略可以包括设置本地认证方式、配置访问权限、使用TLS加密通信、设置密码策略、更改管理员密码、开启审计和限制连接速率。这些步骤有助于增强数据库的安全性。