以下是Debian PostgreSQL安全加固策略:
-
系統與軟件更新
定期執行 sudo apt update && sudo apt upgrade�����,確保系統及PostgreSQL軟件包為最新版本���,修補安全漏洞��。
-
用戶與權限管理
- 為
postgres用戶設置強密碼:sudo -u postgres psql -c "ALTER USER postgres PASSWORD '強密碼';"�。
- 創建專用數據庫用戶并限制權限�,避免使用默認用戶操作敏感數據����。
- 使用
GRANT/REVOKE命令精細化控制用戶對數據庫的訪問權限���。
-
配置文件優化
- 編輯
postgresql.conf:
- 設置
listen_addresses為'*'(允許遠程連接時需謹慎�,建議限制為特定IP段)���。
- 調整
max_connections限制并發連接數����,避免資源耗盡���。
- 編輯
pg_hba.conf:
- 限制遠程訪問IP段�,例如僅允許特定網段連接:
host all all 192.168.1.0/24 md5����。
- 啟用SSL認證:
hostssl all all 0.0.0.0/0 md5��。
-
啟用加密傳輸
- 生成SSL證書與私鑰:
mkdir /etc/postgresql/ssl
openssl req -new -x509 -days 365 -nodes -text -out /etc/postgresql/ssl/server.crt -keyout /etc/postgresql/ssl/server.key
chmod 600 /etc/postgresql/ssl/server.key
- 在
postgresql.conf中啟用SSL:ssl on
ssl_cert_file '/etc/postgresql/ssl/server.crt'
ssl_key_file '/etc/postgresql/ssl/server.key'
- 重啟服務生效����。
-
防火墻與網絡隔離
- 使用UFW限制PostgreSQL端口(默認5432)僅對必要IP開放:
sudo ufw allow from <可信IP> to any port 5432�����。
- 禁止數據庫服務器直接暴露在公網����,通過跳板機或內網訪問���。
-
審計與日志監控
-
數據安全增強
- 對敏感數據使用
pgcrypto擴展加密存儲:
CREATE EXTENSION IF NOT EXISTS pgcrypto;����。
- 定期備份數據庫并存儲至安全位置�,使用
pg_dump工具自動化備份流程���。
-
最小化服務暴露
- 禁用不必要的PostgreSQL模塊或功能��,如
uuid-ossp(若無需生成UUID)��。
- 定期清理無用數據庫和用戶��,減少攻擊面�。
注:配置后需重啟PostgreSQL服務:sudo systemctl restart postgresql���。安全策略需根據實際業務場景調整�����,建議定期進行滲透測試與安全審計��。
