PostgreSQL在Ubuntu上的安全设置

以下是PostgreSQL在Ubuntu上的安全设置要点：

1. 修改默认密码

   • 为PostgreSQL超级用户（postgres）设置强密码，避免使用默认密码。
   • 通过sudo -u postgres psql \password postgres命令修改密码。

2. 防火墙配置

   • 使用ufw限制端口访问，仅允许必要IP/端口（默认5432）：
     sudo ufw allow 5432/tcp。
   • 禁用不必要的端口，关闭默认未使用的端口。

3. 配置SSL加密

   • 生成SSL证书并在postgresql.conf中启用：
     ssl = on，指定证书路径。
   • 在pg_hba.conf中强制使用SSL连接（如hostssl参数）。

4. 访问控制（pg_hba.conf）

   • 限制IP访问范围，避免0.0.0.0/0，仅允许可信IP段。
   • 示例：host all all 192.168.1.0/24 md5。
   • 禁用不安全的认证方式（如trust），优先使用md5或scram-sha-256。

5. 权限管理

   • 按需创建用户并分配最小权限，避免赋予SUPERUSER权限。
   • 使用GRANT语句控制数据库、表级权限，例如：
     GRANT SELECT, INSERT ON TABLE table_name TO user_name。

6. 服务优化与安全

   • 禁用不必要的服务（如postgresql-contrib中未使用的模块）。
   • 定期更新PostgreSQL到最新版本，修复安全漏洞。

7. 审计与备份

   • 启用日志记录（log_statement参数），监控异常操作。
   • 定期备份数据库，使用pg_dump工具导出数据。

参考来源：