9.3 9.4 9.5 9.6 10 11 12 13 14 15
阿里云PostgreSQL 问题报告 纠错本页面

20.3. 连接和认证

20.3.1. 连接设置
20.3.2. 安全和认证
20.3.3. SSL

20.3.1. 连接设置

listen_addresses (string)

指定服务器用于监听来自客户端应用程序的连接的TCP/IP地址。 该值采用逗号分隔的主机名和/或数字IP地址的形式。特殊条目*对应于所有可用的IP接口。 条目0.0.0.0允许监听所有IPv4地址,::允许监听所有IPv6地址。 如果列表为空,则服务器不会在任何IP接口上监听,此时只能使用Unix域套接字进行连接。 如果列表不为空,则服务器将在至少一个TCP/IP地址上可以监听时启动。 对于任何无法打开的TCP/IP地址,将发出警告。 默认值为localhost,仅允许进行本地TCP/IP回环连接。

在客户端认证(第 21 章)允许对谁可以访问服务器进行细粒度控制的同时,listen_addresses 控制哪些接口接受连接尝试,这可以帮助防止在不安全的网络接口上重复恶意连接请求。此参数只能在服务器启动时设置。

port (integer)

服务器监听的 TCP 端口;默认是 5432 。请注意服务器会同一个端口号监听所有的 IP 地址。这个参数只能在服务器启动时设置。

max_connections (integer)

决定数据库的最大并发连接数。默认值通常是 100 个连接,但是如果内核设置不支持(initdb时决定),可能会比这个 数少。这个参数只能在服务器启动时设置。

当运行一个后备服务器时,你必须设置这个参数等于或大于主服务器上的参数。 否则,后备服务器上可能无法允许查询。

superuser_reserved_connections (integer)

决定为PostgreSQL超级用户连接而保留的连接数。 同时活跃的并发连接最多max_connections个。任何时候,活跃的并发连接数最多为max_connections减去 superuser_reserved_connections,新连接就只能由超级用户发起了,并且不会有新的复制连接被接受。

默认值是 3 连接 。这个值必须小于max_connections。 这个参数只能在服务器启动时设置。

unix_socket_directories (string)

指定服务器用于监听来自客户端应用的连接的 Unix 域套接字目录。通过列出用逗号分隔的多个目录可以建立多个套接字。 项之间的空白被忽略,如果你需要在名字中包括空白或逗号,在目录名周围放上双引号。 一个空值指定在任何 Unix 域套接字上都不监听,在这种情况中只能使用 TCP/IP 套接字来连接到服务器。

@开头的值指定应创建一个抽象命名空间中的Unix域套接字(目前仅在Linux上支持)。 在这种情况下,此值不指定一个目录,而是一个前缀,从中计算实际套接字名称的方式与文件系统命名空间相同。 虽然抽象套接字名称前缀可以自由选择,因为它不是文件系统位置,但惯例上仍然使用类似文件系统的值,例如 @/tmp

默认值通常是/tmp,但是在编译时可以被改变。 在windows上,默认值为空,意味着默认不建立UNIX-域嵌套。这个参数只能在服务器启动时设置。

除了套接字文件本身(名为.s.PGSQL.nnnn,其中nnnn是服务器的端口号),一个名为.s.PGSQL.nnnn.lock的普通文件会在每一个unix_socket_directories目录中被创建。 任何一个都不应该被手工移除。 对于抽象命名空间,没有锁文件被建立。

unix_socket_group (string)

设置 Unix 域套接字的所属组(套接字的所属用户总是启动服务器的用户)。可以与选项unix_socket_permissions一起用于对 Unix域连接进行访问控制。默认是一个空字符串,表示服务器用户的默认组。这个参数只能在服务器启动时设置。

Windows 上不支持这个参数。 所有设置会被忽略。 同样,抽象命名空间中的套接字没有文件属主,所以在这种情况下,这个设置也会被忽略。

unix_socket_permissions (integer)

设置 Unix 域套接字的访问权限。Unix 域套接字使用普通的 Unix 文件系统权限集。这个参数值应该是数字的形式,也就是系统调用chmodumask接受的 形式(如果使用自定义的八进制格式,数字必须以一个0(零)开头)。

默认的权限是0777,意思是任何人都可以连接。合理的候选是0770(只有用户和同组的人可以访问, 又见unix_socket_group)和0700(只有用户自己可以访问)(请注意,对于 Unix 域套接字,只有写权限有麻烦,因此没有对读取和执行权限的设置和收回)。

这个访问控制机制与第 21 章中的用户认证没有关系。

这个参数只能在服务器启动时设置。

这个参数与完全忽略套接字权限的系统无关,尤其是自版本10以上的Solaris。 在那些系统上,可以通过把unix_socket_directories指向一个把搜索权限 限制给指定用户的目录来实现相似的效果。

抽象命名空间中的套接字没有文件权限,所以这种情况下这个设置也会被忽略。

bonjour (boolean)

通过Bonjour广告服务器的存在。默认值是关闭。 这个参数只能在服务器启动时设置。

bonjour_name (string)

指定Bonjour服务名称。空字符串''(默认值)表示使用计算机名。 如果编译时没有打开Bonjour支持那么将忽略这个参数。这个参数只能在服务器启动时设置。

tcp_keepalives_idle (integer)

规定在操作系统向客户端发送一个TCP keepalive消息后无网络活动的时间总量。 如果指定值时没有单位,则以秒为单位。值0(默认值)表示选择操作系统默认值。 指定不活动多少秒之后通过 TCP 向客户端发送一个 keepalive 消息。 0 值表示使用默认值。 这个参数只有在支持TCP_KEEPIDLE或等效套接字选项的系统或 Windows 上才可以使用。在其他系统上,它必须为零。在通过 Unix 域套接字连接的会话中,这个参数被忽略并且总是读作零。

注意

在 Windows 上,设定值为0将设置这个参数为 2 小时,因为 Windows 不支持读取系统默认值。

tcp_keepalives_interval (integer)

规定未被客户端确认收到的TCP keepalive消息应重新传输的时间长度。 如果指定值时没有单位,则以秒为单位。值0(默认值)表示选择操作系统默认值。 这个参数只有在支持TCP_KEEPINTVL或等效套接字选项的系统或 Windows 上才可以使用。在其他系统上,必须为零。在通过 Unix域套接字连接的会话中,这个参数被忽略并总被读作零。

注意

在 Windows 上,设定值为0将设置这个参数为 1 秒,因为 Windows 不支持读取系统默认值。

tcp_keepalives_count (integer)

指定服务器到客户端的连接被认为中断之前可以丢失的TCP keepalive消息的数量。值0(默认值)表示选择操作系统默认值。 这个参数只有在支持TCP_KEEPCNT或等效套接字选项的系统上才可以使用。在其他系统上,必须为零。在通过 Unix 域套接字连接的会话中,这个参数被忽略并总被读作零。

注意

Windows 不支持该参数,且必须为零。

tcp_user_timeout (integer)

指定传输的数据在TCP连接被强制关闭之前可以保持未确认状态的时间量。 如果指定值时没有单位,则以毫秒为单位。值0(默认值)表示选择操作系统默认值。 这个参数只有在支持TCP_USER_TIMEOUT的系统上才被支持;在其他系统上,它必须为零。 在通过Unix-domain 套接字连接的会话中,此参数将被忽略并且始终读取为零。

注意

Windows 不支持该参数,且必须为零。

client_connection_check_interval (integer)

在运行查询时,设置检查客户端是否保持连接的可选检查的时间间隔。 这个检查通过轮询套接字来执行,并且在内核报告该连接关闭时,允许长时间运行的查询可以尽快中止。

这个选项依赖于Linux、macOS、illumos和BSD家族操作系统暴露的内核事件, 目前在其他系统上不可用。

如果指定的值没有单位,则以毫秒为单位。 默认值为0,代表禁用连接检查。 没有连接检查,服务器将只在与套接字的下一次交互时检测连接的丢失,当它等待、接收或发送数据时。

为了让内核本身能够在包括网络故障在内的所有场景中,在已知的时间范围内可靠地检测丢失的TCP连接,它可能还需要调整操作系统的TCP保持连接设置, 或者PostgreSQLtcp_keepalives_idle, tcp_keepalives_intervaltcp_keepalives_count 设置。

20.3.2. 安全和认证

authentication_timeout (integer)

允许完成客户端认证的最长时间。如果一个客户端没有在这段时间里完成认证协议,服务器将关闭连接。 这样就避免了出问题的客户端无限制地占有一个连接。如果指定值时没有单位,则以秒为单位。 默认值是 1分钟(1m)。这个参数只能在服务器命令行上或者在postgresql.conf文件中设置。

password_encryption (enum)

当在CREATE ROLE或者ALTER ROLE中指定了口令时,这个参数决定用于加密该口令的算法。 可能的值是 scram-sha-256, 可以用SCRAM-SHA-256, 和 md5加密密码,以MD5 哈希的方式存储密码。 默认为 scram-sha-256

注意老的客户端可能缺少对SCRAM认证机制的支持,因此无法使用用SCRAM-SHA-256加密的口令。详情请参考第 21.5 节

krb_server_keyfile (string)

设置服务器的Kerberos密钥文件的位置。 默认为FILE:/usr/local/pgsql/etc/krb5.keytab(其中目录部分是在构建时由sysconfdir指定的;用pg_config --sysconfdir来决定)。 如果这个参数被设为空字符串,它将被忽略,并且系统依赖的默认值被应用。 这个参数只能在postgresql.conf文件中或者服务器命令行上设置。 详情请参考第 21.6 节

krb_caseins_users (boolean)

设置是否应该以大小写不敏感的方式对待GSSAPI用户名。默认值是off(大小写敏感)。这个参数只能在postgresql.conf文件中或者服务器命令行上设置。

db_user_namespace (boolean)

这个参数启用针对每个数据库的用户名。这个参数默认是关掉的。这个参数只能在postgresql.conf文件中或者服务器命令行上设置。

如果这个参数为打开,应该把用户创建成username@dbname的形式。当一个连接客户端传来username时,@和数据库名会被追加到用户名并且服务器会查找这个与数据库相关的用户名。注意在SQL环境中用含有@的名称创建用户时,需要把用户名放在引号内。

在这个参数被启用时,仍然可以创建平常的全局用户。而在客户端中指定这种用户时只需要简单地追加@,例如joe@。在服务器查找该用户名之前,@会被剥离掉。

db_user_namespace会导致客户端和服务器的用户名表达形式不同。认证检查总是会以服务器的用户名表达形式来完成,因此认证方法必须针对服务器用户名而不是客户端用户名来配置。由于md5方法在客户端和服务器两端都使用用户名作为salt,md5不能与db_user_namespace同时使用。

注意

这种特性的目的是在找到完整的解决方案之前提供一种临时的措施。在找到完整解决方案时,这个选项将被去除。

20.3.3. SSL

查看第 19.9 节以获取有关设置SSL的更多信息。 用TLS协议控制传输加密的配置参数被命名为ssl,出于历史原因, 尽管对SSL协议的支持已被弃用。 在这种情况下,SSLTLS可互换使用。

ssl (boolean)

启用SSL连接。这个参数只能在postgresql.conf文件中或者服务器命令行上设置。默认值是off

ssl_ca_file (string)

指定包含 SSL 服务器证书颁发机构(CA)的文件名。相对路径是相对于数据目录的。这个参数只能在postgresql.conf文件中或者服务器命令行上设置。默认值为空,表示没有载入CA文件,并且客户端证书验证没有被执行。

ssl_cert_file (string)

指定包含 SSL 服务器证书的文件名。相对路径是相对于数据目录的。这个参数只能在postgresql.conf文件中或者服务器命令行上设置。默认值是server.crt

ssl_crl_file (string)

指定包含SSL客户端证书吊销列表(CRL)的文件名。 相对路径是相对于数据目录的。 此参数只能在postgresql.conf文件或服务器命令行中设置。 默认为空,表示不加载CRL文件(除非设置了ssl_crl_dir)。

ssl_crl_dir (string)

指定包含SSL客户端证书吊销列表(CRL)的目录名称。相对路径是相对于数据目录的。 此参数只能在postgresql.conf文件或服务器命令行中设置。 默认为空,表示不使用CRL(除非设置了ssl_crl_file)。

这个目录需要用OpenSSL 命令 openssl rehashc_rehash来准备。 详请参阅相应文档

当使用此设置时,在连接时会按需加载指定目录下的CRLs。 新的CRLs可以添加到该目录中,并可以立即使用。 这与ssl_crl_file不同,那个会导致文件中的CRL在服务器启动时间或重新加载配置时加载。 两个设置可以一起使用。

ssl_key_file (string)

指定包含 SSL 服务器私钥的文件名。相对路径是相对于数据目录。这个参数只能在postgresql.conf文件中或者服务器命令行上设置。默认值是server.key

ssl_ciphers (string)

指定一个允许用于SSL连接的SSL密码套件列表。 这个设置的语法和所支持的值列表可以参见OpenSSL包中的ciphers手册页。 仅在使用 TLS 版本 1.2 及更低版本的连接才受影响。目前没有控制 TLS 版本 1.3 连接使用的密码选择的设置。 默认值是HIGH:MEDIUM:+3DES:!aNULL。默认值通常是一种合理的选择,除非用户有特定的安全性需求。

这个参数只能在postgresql.conf文件中或者服务器命令行上设置。

默认值的解释:

HIGH

使用来自HIGH组的密码的密码组(例如 AES, Camellia, 3DES)

MEDIUM

使用来自MEDIUM组的密码的密码组(例如 RC4, SEED)

+3DES

OpenSSLHIGH的默认排序是有问题的,因为它认为 3DES 比AES128 更高。 这是错误的,因为 3DES 提供的安全性比 AES128 低,并且它也更加慢。 +3DES把它重新排序在所有其他HIGHMEDIUM密码之后。

!aNULL

禁用不做认证的匿名密码组。这类密码组容易收到MITM攻击,因此不应被使用。

可用的密码组细节可能会随着OpenSSL 版本变化。 可使用命令 openssl ciphers -v 'HIGH:MEDIUM:+3DES:!aNULL'来查看当前安装的OpenSSL版本的实际细节。 注意这个列表是根据服务器密钥类型在运行时过滤过的。

ssl_prefer_server_ciphers (boolean)

指定是否使用服务器的 SSL 密码首选项,而不是用客户端的。这个参数只能在postgresql.conf文件中或者服务器命令行上设置。 默认值是 on

老的PostgreSQL版本没有这个设置并且总是使用客户端的首选项。这个设置主要用于与那些版本 的向后兼容性。使用服务器的首选项通常会更好,因为服务器更可能会被合适地配置。

ssl_ecdh_curve (string)

指定用在ECDH密钥交换中的曲线名称。它需要被所有连接的客户端支持。 它不需要与服务器椭圆曲线密钥使用的曲线相同。这个参数只能在postgresql.conf文件中或者服务器命令行上设置。默认值是prime256v1

OpenSSL最常见的曲线名称是: prime256v1 (NIST P-256)、 secp384r1 (NIST P-384)、 secp521r1 (NIST P-521)。 openssl ecparam -list_curves命令可以显示可用曲线的完整列表。 不过并不是所有的都在TLS中可用。

ssl_min_protocol_version (enum)

设置要使用的最小SSL/TLS协议版本。当前的可用版本包括: TLSv1, TLSv1.1, TLSv1.2, TLSv1.3. 旧版本的 OpenSSL 库不支持所有值;如果选择了不支持的设置将会引发错误。 TLS 1.0之前的协议版本,也就是SSL 版本 2 and 3,总是禁用的。

默认为TLSv1.2, 在本文撰写时的行业最佳实践。

这个参数只能在postgresql.conf文件中或通过服务器命令行进行设置。

ssl_max_protocol_version (enum)

设定要使用的最大SSL/TLS协议版本。 有效的版本为 ssl_min_protocol_version, 添加一个空字符串,允许任何协议版本。 默认为允许任何版本。设置最大协议版本主要用于测试,或者某个组件在与较新的协议配合工作时出现了问题。

这个参数只能在postgresql.conf文件中或通过服务器命令行进行设置。

ssl_dh_params_file (string)

指定含有用于SSL密码的所谓临时DH家族的Diffie-Hellman参数的文件名。默认值为空,这种情况下将使用内置的默认DH参数。使用自定义的DH参数可以降低攻击者破解众所周知的内置DH参数的风险。可以用命令openssl dhparam -out dhparams.pem 2048创建自己的DH参数文件。

这个参数只能在postgresql.conf文件中或通过服务器命令行进行设置。

ssl_passphrase_command (string)

设置当需要一个密码(例如一个私钥)来解密SSL文件时会调用的一个外部命令。默认情况下,这个参数为空,表示使用内建的提示机制。

该命令必须将密码打印到标准输出并且以代码0退出。在该参数值中,%p被替换为一个提示字符串(要得到文字%,应该写成%%)。注意该提示字符串将可能含有空格,因此要确保加上适当的引号。如果输出的末尾有单一的新行,它会被剥离掉。

该命令实际上并不一定要提示用户输入一个密码。它可以从文件中读取密码、从钥匙链得到密码等等。确保选中的机制足够安全是用户的责任。

这个参数只能在postgresql.conf文件中或通过服务器命令行进行设置。

ssl_passphrase_command_supports_reload (boolean)

这个参数决定在配置重载期间如果一个密钥文件需要口令时,是否也调用ssl_passphrase_command设置的密码命令。 如果这个参数为off(默认),那么在重载期间将忽略ssl_passphrase_command,如果在此期间需要密码则SSL配置将不会被重载。 对于要求一个TTY(当服务器正在运行时可能是不可用的)来进行提示的命令,这种设置是合适的。 例如,如果密码是从一个文件中得到的,将这个参数设置为on可能是合适的。

这个参数只能在postgresql.conf文件中或通过服务器命令行进行设置。