Debian pgAdmin安全设置建议

以下是Debian系统上pgAdmin的安全设置建议：

1. 系统与软件更新
   定期更新系统和pgAdmin，确保安全补丁及时应用：

   sudo apt update && sudo apt upgrade  
   

2. 启用SSL加密

   • 生成SSL证书和密钥：

     sudo openssl req -newkey rsa:2048 -x509 -days 3650 -keyout /etc/pgadmin4/server.key -out /etc/pgadmin4/server.crt  
     

   • 配置pgAdmin使用SSL：编辑/etc/pgadmin4/config_local.py，添加：

     SSL_CERTFILE = '/etc/pgadmin4/server.crt'  
     SSL_KEYFILE = '/etc/pgadmin4/server.key'  
     

   • 重启服务生效：

     sudo systemctl restart pgadmin4  
     

3. 访问控制

   • 限制IP访问：通过防火墙（如ufw）仅允许特定IP访问pgAdmin端口（默认5050，建议修改为其他端口）：

     sudo ufw deny 5050/tcp  
     sudo ufw allow from <trusted-ip> to any port 5050  
     

   • 强密码策略：为pgAdmin和PostgreSQL管理员账户设置复杂密码，定期更换。

4. 最小权限原则

   • 为pgAdmin使用的数据库用户分配仅必要的权限，避免使用默认超级用户。

5. 日志与监控

   • 启用详细日志记录，定期审计访问行为：

     # 查看pgAdmin日志（路径可能因安装方式不同）  
     sudo tail -f /var/log/pgadmin4/pgadmin4.log  
     

   • 配置Fail2ban等工具防止暴力破解。

6. 服务优化

   • 禁用不必要的服务（如SSH隧道访问，若无需使用）。
   • 定期备份pgAdmin配置文件和数据库数据。

参考来源：