Debian PostgreSQL安全加固策略

以下是Debian PostgreSQL安全加固策略：

1. 系统与软件更新
   定期执行 sudo apt update && sudo apt upgrade，确保系统及PostgreSQL软件包为最新版本，修补安全漏洞。

2. 用户与权限管理

   • 为postgres用户设置强密码：sudo -u postgres psql -c "ALTER USER postgres PASSWORD '强密码';"。
   • 创建专用数据库用户并限制权限，避免使用默认用户操作敏感数据。
   • 使用GRANT/REVOKE命令精细化控制用户对数据库的访问权限。

3. 配置文件优化

   • 编辑postgresql.conf：
     • 设置listen_addresses为'*'（允许远程连接时需谨慎，建议限制为特定IP段）。
     • 调整max_connections限制并发连接数，避免资源耗尽。
   • 编辑pg_hba.conf：
     • 限制远程访问IP段，例如仅允许特定网段连接：host all all 192.168.1.0/24 md5。
     • 启用SSL认证：hostssl all all 0.0.0.0/0 md5。

4. 启用加密传输

   • 生成SSL证书与私钥：

     mkdir /etc/postgresql/ssl  
     openssl req -new -x509 -days 365 -nodes -text -out /etc/postgresql/ssl/server.crt -keyout /etc/postgresql/ssl/server.key  
     chmod 600 /etc/postgresql/ssl/server.key  
     

   • 在postgresql.conf中启用SSL：

     ssl on  
     ssl_cert_file '/etc/postgresql/ssl/server.crt'  
     ssl_key_file '/etc/postgresql/ssl/server.key'  
     

   • 重启服务生效。

5. 防火墙与网络隔离

   • 使用UFW限制PostgreSQL端口（默认5432）仅对必要IP开放：
     sudo ufw allow from <可信IP> to any port 5432。
   • 禁止数据库服务器直接暴露在公网，通过跳板机或内网访问。

6. 审计与日志监控

   • 启用详细日志记录：

     log_statement = 'all'  
     log_connections = true  
     log_disconnections = true  
     

   • 定期分析日志，检测异常登录或异常SQL操作。

7. 数据安全增强

   • 对敏感数据使用pgcrypto扩展加密存储：
     CREATE EXTENSION IF NOT EXISTS pgcrypto;。
   • 定期备份数据库并存储至安全位置，使用pg_dump工具自动化备份流程。

8. 最小化服务暴露

   • 禁用不必要的PostgreSQL模块或功能，如uuid-ossp（若无需生成UUID）。
   • 定期清理无用数据库和用户，减少攻击面。

注：配置后需重启PostgreSQL服务：sudo systemctl restart postgresql。安全策略需根据实际业务场景调整，建议定期进行渗透测试与安全审计。