PostgreSQL配置密码复杂度策略

安装完PostgreSQL之后,默认是没有开启密码复杂度,为了数据库安全以及应对等保测评等要求,有时我们需要设置密码复杂度。

PostgreSQL支持通过动态库的方式扩展PG的功能,pg在使用这些功能时需要预加载相关的共享库。而密码复杂度可以通过预加载passwordcheck.so模块实现。

有几种设置可用于将共享库预加载到服务器中,如下:

  • local_preload_libraries (string)
  • session_preload_libraries (string)
  • shared_preload_libraries (string)

下面介绍shared_preload_libraries (string)方式加载passwordcheck.so模块,此模块可以检查密码,如果密码太弱,他会拒绝连接;创建用户或修改用户密码时,强制限制密码的复杂度,限制密码不能重复使用例如密码长度,包含数字,字母,大小写,特殊字符等,同时排除暴力破解字典中的字符串。

1、创建测试用户

CREATE USER AAA WITH PASSWORD '123';--创建用户
ALTER USER AAA WITH PASSWORD '111';--修改用户密码

image

执行发现,使用简单密码,无论是创建用户还是修改用户密码均可以成功执行。

2、shared_preload_libraries 方式启用passwordcheck.so模块

在PG库的数据目录下(centos默认路径为:/var/lib/pgsql/11/data,windows默认路径为:D:\PostgreSQL\11\data)找到postgresql.conf文件,修改

imageimage

修改内容行为:shared_preload_libraries = 'passwordcheck'    # (change requires restart)。

修改完成后重启服务服务生效(systemctl restart postgresql-11)。

注意:如果修改不正确会导致数据库服务器无法正常启动,请修改之前做好备份。

3、重启后验证

imageimage

imageimage

发现无论在新建用户以及修改用户时候,都对密码提出要求,要求至少8位,必须包含数字和字母。

其他注意事项:

我在Windows系统上,修改完成后所有已有用户均无法登陆(CENTOS上未遇到此种情况),只需要修改PG库的数据目录下(centos默认路径为:/var/lib/pgsql/11/data,windows默认路径为:D:\PostgreSQL\11\data)找到pg_hba.conf文件,修改登陆验证方式。

image

然后登陆后修改用户的有效期,设置完成后将pg_hba.conf文件恢复即可。

说明:trust为不验证密码;md5为密码认证,另外还有ident(使用操作系统账号)、password(明文密码)、reject(拒绝访问)

QQ截图20201126103437

有效期不要设置过程,否则可能不生效,可以通过 select * from pg_user 语句查看有效期(valuntil字段)。

QQ截图20201126103342

posted on 2020-11-27 15:25  jingkunliu  阅读(8314)  评论(4编辑  收藏  举报

导航