• PostgreSQL配置密码复杂度策略


    安装完PostgreSQL之后,默认是没有开启密码复杂度,为了数据库安全以及应对等保测评等要求,有时我们需要设置密码复杂度。

    PostgreSQL支持通过动态库的方式扩展PG的功能,pg在使用这些功能时需要预加载相关的共享库。而密码复杂度可以通过预加载passwordcheck.so模块实现。

    有几种设置可用于将共享库预加载到服务器中,如下:

    • local_preload_libraries (string)
    • session_preload_libraries (string)
    • shared_preload_libraries (string)

    下面介绍shared_preload_libraries (string)方式加载passwordcheck.so模块,此模块可以检查密码,如果密码太弱,他会拒绝连接;创建用户或修改用户密码时,强制限制密码的复杂度,限制密码不能重复使用例如密码长度,包含数字,字母,大小写,特殊字符等,同时排除暴力破解字典中的字符串。

    1、创建测试用户

    CREATE USER AAA WITH PASSWORD '123';--创建用户
    ALTER USER AAA WITH PASSWORD '111';--修改用户密码

    image

    执行发现,使用简单密码,无论是创建用户还是修改用户密码均可以成功执行。

    2、shared_preload_libraries 方式启用passwordcheck.so模块

    在PG库的数据目录下(centos默认路径为:/var/lib/pgsql/11/data,windows默认路径为:D:PostgreSQL11data)找到postgresql.conf文件,修改

    imageimage

    修改内容行为:shared_preload_libraries = 'passwordcheck'    # (change requires restart)。

    修改完成后重启服务服务生效(systemctl restart postgresql-11)。

    注意:如果修改不正确会导致数据库服务器无法正常启动,请修改之前做好备份。

    3、重启后验证

    imageimage

    imageimage

    发现无论在新建用户以及修改用户时候,都对密码提出要求,要求至少8位,必须包含数字和字母。

    其他注意事项:

    我在Windows系统上,修改完成后所有已有用户均无法登陆(CENTOS上未遇到此种情况),只需要修改PG库的数据目录下(centos默认路径为:/var/lib/pgsql/11/data,windows默认路径为:D:PostgreSQL11data)找到pg_hba.conf文件,修改登陆验证方式。

    image

    然后登陆后修改用户的有效期,设置完成后将pg_hba.conf文件恢复即可。

    说明:trust为不验证密码;md5为密码认证,另外还有ident(使用操作系统账号)、password(明文密码)、reject(拒绝访问)

    QQ截图20201126103437

    有效期不要设置过程,否则可能不生效,可以通过 select * from pg_user 语句查看有效期(valuntil字段)。

    QQ截图20201126103342

  • 相关阅读:
    用面向对象的方法重写选项卡
    js 深入理解原型模式
    ECMAScript中的两种属性
    引用类型
    js 变量、作用域和内存问题
    html5 canvas画布尺寸与显示尺寸
    网页画板制作
    了解数组中的队列方法,DOM中节点的一些操作
    JavaScript中的数组对象遍历、读写、排序等操作
    this在方法赋值过程中无法保持(隐式丢失)
  • 原文地址:https://www.cnblogs.com/Jingkunliu/p/14048221.html
Copyright © 2020-2023  润新知