Debian系统PostgreSQL安全如何保障

时间2025-12-03 19:58:03发布访客分类主机资讯浏览1444

导读：Debian 上保障 PostgreSQL 安全的可落地清单一系统与仓库安全基线与安装保持系统与软件为最新：执行 sudo apt update && sudo apt upgrade，及时获取安全补丁。仅从受信任...

Debian 上保障 PostgreSQL 安全的可落地清单

一系统与仓库安全基线与安装

二网络与访问控制

默认仅本地访问：保持 listen_addresses = ‘localhost’，除非确有远程需求再调整。
精细的客户端认证：在 pg_hba.conf 中优先采用基于主机的认证，并按“就近原则”限制来源网段与数据库对象。示例（仅示例，生产请收紧）：
- 本地 Unix 域套接字：local all all peer（或 md5，视本地运维而定）
- 本地回环：host all all 127.0.0.1/32 md5
- 远程访问：按需仅放行业务网段，例如 host mydb myapp 192.168.1.0/24 md5，对未授权网段使用 reject 明确拒绝。
防火墙策略：如启用 UFW，仅允许受控来源访问 5432/tcp，避免对全网开放。
变更生效：修改配置后执行 sudo systemctl restart postgresql。

三身份与权限最小化

设置强口令：为 postgres 及业务账号设置复杂口令，例如：
- ALTER USER postgres WITH PASSWORD ‘StrongP@ssw0rd!’;
按业务创建最小权限账号与数据库：
- CREATE USER app WITH PASSWORD ‘AppPass!23’;
- CREATE DATABASE appdb OWNER app;
- GRANT CONNECT, TEMPORARY ON DATABASE appdb TO app;
- 按需授予模式/表级权限（SELECT/INSERT/UPDATE/DELETE），避免滥用 SUPERUSER。
不使用默认数据库与默认超级用户进行日常业务操作，遵循“最小权限原则”。

四加密与审计

传输加密：启用 SSL/TLS 保护数据在途安全。
- 生成自签名证书（测试/内网可用）：
  - mkdir -p /etc/postgresql/ssl
  - openssl req -new -x509 -days 365 -nodes -text -subj ‘/CN=postgres’ -out /etc/postgresql/ssl/server.crt -keyout /etc/postgresql/ssl/server.key
  - chmod 600 /etc/postgresql/ssl/server.key
- 在 postgresql.conf 中启用：
  - ssl = on
  - ssl_cert_file = ‘/etc/postgresql/ssl/server.crt’
  - ssl_key_file = ‘/etc/postgresql/ssl/server.key’
审计与日志：开启关键日志以支撑合规与溯源。
- 在 postgresql.conf 中启用：
  - log_statement = ‘all’
  - log_connections = on
  - log_disconnections = on
  - log_directory = ‘pg_log’
  - log_filename = ‘postgresql-%Y-%m-%d_%H%M%S.log’
备份与恢复：定期使用 pg_dump 做逻辑备份，并妥善保存与校验。
- 备份：sudo -u postgres pg_dump mydb > mydb_$(date +%F).sql
- 恢复：sudo -u postgres psql mydb < mydb_$(date +%F).sql

五运行维护与加固清单

声明：本文内容由网友自发贡献，本站不承担相应法律责任。对本内容有异议或投诉，请联系2913721942#qq.com核实处理，我们将尽快回复您，谢谢合作！