PostgreSQL配置密码复杂度策略

时间:2020-11-27 15:25:00 来源:互联网 作者: 神秘的大神 字体:

安装完PostgreSQL之后,默认是没有开启密码复杂度,为了数据库安全以及应对等保测评等要求,有时我们需要设置密码复杂度。

PostgreSQL支持通过动态库的方式扩展PG的功能,pg在使用这些功能时需要预加载相关的共享库。而密码复杂度可以通过预加载passwordcheck.so模块实现。

有几种设置可用于将共享库预加载到服务器中,如下:

  • local_preload_libraries (string)
  • session_preload_libraries (string)
  • shared_preload_libraries (string)

下面介绍shared_preload_libraries (string)方式加载passwordcheck.so模块,此模块可以检查密码,如果密码太弱,他会拒绝连接;创建用户或修改用户密码时,强制限制密码的复杂度,限制密码不能重复使用例如密码长度,包含数字,字母,大小写,特殊字符等,同时排除暴力破解字典中的字符串。

1、创建测试用户

CREATE USER AAA WITH PASSWORD '123';--创建用户
ALTER USER AAA WITH PASSWORD '111';--修改用户密码

<img width="335" height="260" title="image" style="display: inline; background-image: none" alt="image" src="https://img2020.cnblogs.com/blog/315861/202011/315861-20201127152457970-1227182162.png" border="0" class="img-responsive">

执行发现,使用简单密码,无论是创建用户还是修改用户密码均可以成功执行。

2、shared_preload_libraries 方式启用passwordcheck.so模块

在PG库的数据目录下(centos默认路径为:/var/lib/pgsql/11/data,windows默认路径为:D:\PostgreSQL\11\data)找到postgresql.conf文件,修改

<img width="448" height="425" title="image" style="margin: 0; display: inline; background-image: none" alt="image" src="https://img2020.cnblogs.com/blog/315861/202011/315861-20201127152459487-148259811.png" border="0" class="img-responsive"><img width="438" height="425" title="image" style="margin: 0; display: inline; background-image: none" alt="image" src="https://img2020.cnblogs.com/blog/315861/202011/315861-20201127152500965-701180388.png" border="0" class="img-responsive">

修改内容行为:shared_preload_libraries = 'passwordcheck'    # (change requires restart)。

修改完成后重启服务服务生效(systemctl restart postgresql-11)。

注意:如果修改不正确会导致数据库服务器无法正常启动,请修改之前做好备份。

3、重启后验证

<img width="481" height="218" title="image" style="display: inline; background-image: none" alt="image" src="https://img2020.cnblogs.com/blog/315861/202011/315861-20201127152501681-1280929626.png" border="0" class="img-responsive"><img width="519" height="217" title="image" style="display: inline; background-image: none" alt="image" src="https://img2020.cnblogs.com/blog/315861/202011/315861-20201127152557426-2079385997.png" border="0" class="img-responsive">

<img width="528" height="201" title="image" style="margin: 0; display: inline; background-image: none" alt="image" src="https://img2020.cnblogs.com/blog/315861/202011/315861-20201127152502869-232730430.png" border="0" class="img-responsive"><img width="477" height="201" title="image" style="display: inline; background-image: none" alt="image" src="https://img2020.cnblogs.com/blog/315861/202011/315861-20201127152558243-1689339397.png" border="0" class="img-responsive">

发现无论在新建用户以及修改用户时候,都对密码提出要求,要求至少8位,必须包含数字和字母。

其他注意事项:

我在Windows系统上,修改完成后所有已有用户均无法登陆(CENTOS上未遇到此种情况),只需要修改PG库的数据目录下(centos默认路径为:/var/lib/pgsql/11/data,windows默认路径为:D:\PostgreSQL\11\data)找到pg_hba.conf文件,修改登陆验证方式。

<img width="631" height="107" title="image" style="margin: 0; display: inline; background-image: none" alt="image" src="https://img2020.cnblogs.com/blog/315861/202011/315861-20201127152503881-1818736254.png" border="0" class="img-responsive">

然后登陆后修改用户的有效期,设置完成后将pg_hba.conf文件恢复即可。

说明:trust为不验证密码;md5为密码认证,另外还有ident(使用操作系统账号)、password(明文密码)、reject(拒绝访问)

<img width="450" height="427" title="QQ截图20201126103437" style="display: inline; background-image: none" alt="QQ截图20201126103437" src="https://img2020.cnblogs.com/blog/315861/202011/315861-20201127152504602-1847947622.png" border="0" class="img-responsive">

有效期不要设置过程,否则可能不生效,可以通过 select * from pg_user 语句查看有效期(valuntil字段)。

<img width="692" height="305" title="QQ截图20201126103342" style="display: inline; background-image: none" alt="QQ截图20201126103342" src="https://img2020.cnblogs.com/blog/315861/202011/315861-20201127152505534-647713093.png" border="0" class="img-responsive">