热门标签
当前位置: article > 正文
Postgres pg_hba.conf文件
作者:我家自动化 | 2024-04-13 08:31:36
赞
踩
pg_hba.conf
什么是pg_hba文件?
HBA全称是host-based authentication(基于主机的认证)。在initdb初始化数据目录时,它会在PG数据目录下安装一个默认的pg_hba.conf文件。pg_hba.conf默认路径是/var/lib/pgsql/<pg_version>/data
- [root@node01 vagrant]# ps -ef|grep postgres
- postgres 22899 1 0 16:48 ? 00:00:00 /usr/pgsql-11/bin/postmaster -D /var/lib/pgsql/11/data/
- [root@node01 vagrant]# ll /var/lib/pgsql/11/data/pg_hba.conf
- -rw-r--r--. 1 vagrant vagrant 911 Dec 6 16:48 /var/lib/pgsql/11/data/pg_hba.conf
pg_hba.conf中每条记录指定一种连接类型、一个客户端 IP 地址范围(如果和连接类型相关)、一个数据库名、一个用户名以及对匹配这些参数的连接使用的认证方法。第一条匹配连接类型、客户端地址、连接请求的数据库和用户名的记录将被用于执行认证。这个过程没有“落空”或者“后备”的说法:如果选择了一条记录而且认证失败,那么将不再考虑后面的记录。如果没有匹配的记录,那么访问将被拒绝。
记录格式一般是:
TYPE DATABASE USER ADDRESS METHOD各个域的具体含义参考http://www.postgres.cn/docs/14/auth-pg-hba-conf.html
常用配置
- # 允许本地系统上的任何用户
- # 通过 Unix 域套接字以任意
- # 数据库用户名连接到任意数据库(本地连接的默认值)。
- #
- # TYPE DATABASE USER ADDRESS METHOD
- local all all trust
-
- # 相同的规则,但是使用本地环回 TCP/IP 连接。
- #
- # TYPE DATABASE USER ADDRESS METHOD
- host all all 127.0.0.1/32 trust
-
- # 和前一行相同,但是使用了一个独立的掩码列
- #
- # TYPE DATABASE USER IP-ADDRESS IP-MASK METHOD
- host all all 127.0.0.1 255.255.255.255 trust
-
- # IPv6 上相同的规则
- #
- # TYPE DATABASE USER ADDRESS METHOD
- host all all ::1/128 trust
-
- # 使用主机名的相同规则(通常同时覆盖 IPv4 和 IPv6)。
- #
- # TYPE DATABASE USER ADDRESS METHOD
- host all all localhost trust
-
- # 允许来自任意具有 IP 地址192.168.93.x 的主机上任意
- # 用户以 ident 为该连接所报告的相同用户名连接到
- # 数据库 "postgres"(通常是操作系统用户名)。
- #
- # TYPE DATABASE USER ADDRESS METHOD
- host postgres all 192.168.93.0/24 ident
-
- # 如果用户的口令被正确提供,允许来自主机 192.168.12.10
- # 的任意用户连接到数据库 "postgres"。
- #
- # TYPE DATABASE USER ADDRESS METHOD
- host postgres all 192.168.12.10/32 scram-sha-256
-
- # 如果用户的口令被正确提供,允许 example.com 中主机上
- # 的任意用户连接到任意数据库。
- #
- # 为大部分用户要求SCRAM认证,但是用户'mike'是个例外,
- # 他使用的是不支持SCRAM认证的旧客户端。
- #
- # TYPE DATABASE USER ADDRESS METHOD
- host all mike .example.com md5
- host all all .example.com scram-sha-256
-
- # 如果没有前面的 "host" 行,这三行
- # 将拒绝所有来自 192.168.54.1的连接(因为那些项将首先被匹配),
- # 但是允许来自互联网其他任何地方的
- # GSSAPI-encrypted连接。零掩码导致主机IP 地址中的所有位都不会被考虑,
- # 因此它匹配任意主机。未加密GSSAPI连接
- # (which "跳转"到第三行是因为"hostgssenc" 仅匹配加密的 GSSAPI 连接) 是被允许的,但只能来自192.168.12.10.
- #
- # TYPE DATABASE USER ADDRESS METHOD
- host all all 192.168.54.1/32 reject
- hostgssenc all all 0.0.0.0/0 gss
- host all all 192.168.12.10/32 gss
-
- # 允许来自 192.168.x.x 主机的用户连接到任意数据库,如果它们能够
- # 通过 ident 检查。例如,假设 ident说用户是 "bryanh" 并且他要求以
- # PostgreSQL 用户 "guest1" 连接,如果在 pg_ident.conf 有一个映射
- # "omicron" 的选项说 "bryanh" 被允许以 "guest1" 连接,则该连接将被允许。
- #
- # TYPE DATABASE USER ADDRESS METHOD
- host all all 192.168.0.0/16 ident map=omicron
-
- # 如果这些是本地连接的唯一三行,它们将允许本地用户只连接到它们
- # 自己的数据库(与其数据库用户名同名的数据库),不过管理员和角
- # 色 "support" 的成员除外(它们可以连接到所有数据库)。文件
- # $PGDATA/admins 包含一个管理员名字的列表。在所有情况下都要求口令。
- #
- # TYPE DATABASE USER ADDRESS METHOD
- local sameuser all md5
- local all @admins md5
- local all +support md5
-
- # 上面的最后两行可以被整合为一行:
- local all @admins,+support md5
-
- # 数据库列也可以用列表和文件名:
- local db1,db2,@demodbs all md5
下面是我生产环境上的配置,仅供参考。它允许本机免密登录postgres用户,用于管理员操作。其他用户需要md5加密,允许所有的IP段。
- # TYPE DATABASE USER ADDRESS METHOD
-
- # "local" is for Unix domain socket connections only
- #local all all trust
- # IPv4 local connections:
- host all postgres 127.0.0.1/32 trust
- host all all 127.0.0.1/32 md5
- host all all all md5
- # IPv6 local connections:
- host all postgres ::1/128 trust
- host all all ::1/128 md5
- # Allow replication connections from localhost, by a user with the
- # replication privilege.
- #local replication all trust
- host replication all 127.0.0.1/32 trust
- host replication all ::1/128 trust
参考
声明:本文内容由网友自发贡献,转载请注明出处:【wpsshop】
推荐阅读
相关标签
