安装完PostgreSQL之后,默认是没有开启密码复杂度,为了数据库安全以及应对等保测评等要求,有时我们需要设置密码复杂度。
PostgreSQL支持通过动态库的方式扩展PG的功能,pg在使用这些功能时需要预加载相关的共享库。而密码复杂度可以通过预加载passwordcheck.so模块实现。
有几种设置可用于将共享库预加载到服务器中,如下:
- local_preload_libraries (string)
- session_preload_libraries (string)
- shared_preload_libraries (string)
下面介绍shared_preload_libraries (string)方式加载passwordcheck.so模块,此模块可以检查密码,如果密码太弱,他会拒绝连接;创建用户或修改用户密码时,强制限制密码的复杂度,限制密码不能重复使用例如密码长度,包含数字,字母,大小写,特殊字符等,同时排除暴力破解字典中的字符串。
1、创建测试用户
CREATE USER AAA WITH PASSWORD '123';--创建用户
ALTER USER AAA WITH PASSWORD '111';--修改用户密码
执行发现,使用简单密码,无论是创建用户还是修改用户密码均可以成功执行。
2、shared_preload_libraries 方式启用passwordcheck.so模块
在PG库的数据目录下(centos默认路径为:/var/lib/pgsql/11/data,windows默认路径为:D:PostgreSQL11data)找到postgresql.conf文件,修改
修改内容行为:shared_preload_libraries = 'passwordcheck' # (change requires restart)。
修改完成后重启服务服务生效(systemctl restart postgresql-11)。
注意:如果修改不正确会导致数据库服务器无法正常启动,请修改之前做好备份。
3、重启后验证
发现无论在新建用户以及修改用户时候,都对密码提出要求,要求至少8位,必须包含数字和字母。
其他注意事项:
我在Windows系统上,修改完成后所有已有用户均无法登陆(CENTOS上未遇到此种情况),只需要修改PG库的数据目录下(centos默认路径为:/var/lib/pgsql/11/data,windows默认路径为:D:PostgreSQL11data)找到pg_hba.conf文件,修改登陆验证方式。
然后登陆后修改用户的有效期,设置完成后将pg_hba.conf文件恢复即可。
说明:trust为不验证密码;md5为密码认证,另外还有ident(使用操作系统账号)、password(明文密码)、reject(拒绝访问)
有效期不要设置过程,否则可能不生效,可以通过 select * from pg_user 语句查看有效期(valuntil字段)。