Osvědčené postupy zabezpečení PostgreSQL vám mohou pomoci zabezpečit databázi PostgreSQL před bezpečnostními chybami. Toto je také známé jako zpevňování PostgreSQL. Tyto osvědčené postupy můžete také použít jako kontrolní seznam zabezpečení pro PostgreSQL.
Osvědčené postupy zabezpečení PostgreSQL
Zde jsou nejlepší doporučené postupy zabezpečení PostgreSQL, které můžete přijmout k zabezpečení své databáze PostgreSQL.
1. Použijte Non-Trust Authentication
Ve výchozím nastavení PostgreSQL používá Trust Authentication, které předpokládá, že kdokoli, kdo má přístup k serveru, se může připojit k databázi jednoduchým zadáním uživatelského jména databáze.
Je důležité upravit váš soubor pg_hba.conf a přejít na nedůvěryhodnou metodu ověřování, jako je MD5.
Bonusové čtení:Nejlepší databázové blogy ke sledování
2. Zakázat vzdálený přístup
Aktualizujte soubor pg_hba.conf, abyste zakázali vzdálený přístup k vaší databázi. Pokud potřebujete vzdáleně přistupovat k databázi PostgreSQL, použijte SSH pro přihlášení k serveru, který je hostitelem vaší databáze, a odtud použijte připojení k místní databázi. Můžete se také bezpečně připojit ke své databázi PostrgeSQL pomocí tunelování SSH.
Bonusové čtení:Jak zvýšit maximální počet připojení v PostgreSQL
3. Použijte jednosměrné šifrování
Některé hodnoty ve vaší databázi, jako jsou hesla, nepotřebují dešifrování. Pro takové hodnoty použijte šifrování založené na hash, jako je MD5, které nelze dešifrovat, namísto použití algoritmů jako AES, které jsou obousměrné. To přidá další vrstvu zabezpečení.
Bonusové čtení:Jak získat záznamy za posledních 24 hodin
4. Omezit přístup na úrovni portu
Zkontrolujte všechny porty, které mají síťový přístup k vaší databázi, a zrušte přístup nepotřebným portům.
5. Povolit připojení SSL
Ve výchozím nastavení PostgreSQL přenáší podrobnosti o připojení, dotazy a výsledná data jako prostý text, který je zranitelný vůči falšování sítě. Protokol připojení SSL umožňuje prohlížečům bezpečně se připojit k serveru a zajišťuje, že data zůstanou šifrovaná. Povolte tedy připojení SSL v PostgreSQL, aby byla všechna připojení, dotazy a data bezpečně přenášena po síti.
6. Povolit sledování
Nainstalujte pg_stat_statements rozšíření umožňující automatické monitorování dotazů pro vaši databázi PostgreSQL. Toto rozšíření monitoruje a zaznamenává všechny typy dotazů, jako jsou SELECT, UPDATE, DELETE, INSERT, a vytváří auditní záznam k identifikaci viníků.
7. Povolit protokolování
Podobně PostgreSQL podporuje širokou škálu funkcí jemného protokolování během běhu. Zde je vyčerpávající seznam možností protokolování za běhu. Můžete jej použít k protokolování připojení, odpojení, protokolování běžících dotazů, velikosti dočasného souboru a dalších. Umožňuje vám dokonce určit, co se má protokolovat, kdy a kde se má protokolovat.
8. Zůstaňte aktuální
PostgreSQL pravidelně vydává důležité aktualizace a bezpečnostní záplaty, které nejen zlepšují výkon databáze, ale také zlepšují zabezpečení databáze. Proto prosím pravidelně aktualizujte svou databázi, abyste zajistili, že zůstane chráněna před nejnovějšími zranitelnostmi.
Doufejme, že výše uvedené doporučené postupy zabezpečení PostgreSQL vám pomohou zabezpečit databázi proti zranitelnostem.