CentOS上pgAdmin安全设置指南

1. 修改默认密码

• PostgreSQL超级用户密码：默认的postgres用户密码为空，需立即修改为强密码（包含大小写字母、数字、特殊字符，长度≥12位）。执行命令：
  sudo -u postgres psql -c "ALTER USER postgres PASSWORD 'YourStrongPassword123!'";
• pgAdmin自身密码：为pgAdmin管理员账户设置强密码，并定期更换（建议每90天更换一次）。避免使用默认密码或简单易猜的密码（如admin123）。

2. 配置防火墙限制访问

• 使用firewalld：仅允许特定IP地址或IP段访问pgAdmin默认端口（5050），关闭其他不必要端口。执行命令：

  sudo firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="192.168.1.100" port port=5050 protocol=tcp accept'  # 替换为你的IP
  sudo firewall-cmd --permanent --add-port=5050/tcp
  sudo firewall-cmd --reload
  

• 使用ufw（可选）：若系统安装了ufw，可执行：
  sudo ufw allow from 192.168.1.100 to any port 5050 && sudo ufw enable。

3. 启用SSL加密传输

• 生成SSL证书与私钥：使用OpenSSL生成自签名证书（生产环境建议使用CA颁发的有效证书），确保证书有效期足够长（如10年）。执行命令：
  sudo openssl req -newkey rsa:2048 -new -nodes -x509 -days 3650 -keyout /etc/pgadmin4/server.key -out /etc/pgadmin4/server.crt
• 配置pgAdmin使用SSL：编辑pgAdmin本地配置文件（/usr/lib/python3.6/site-packages/pgadmin4-web/config_local.py，路径因Python版本可能不同），添加证书路径：
  SSL_CERTFILE = '/etc/pgadmin4/server.crt'
SSL_KEYFILE = '/etc/pgadmin4/server.key'
• 设置文件权限：确保证书与私钥仅pgAdmin用户可访问，避免敏感信息泄露：
  sudo chown root:pgadmin /etc/pgadmin4/server.key /etc/pgadmin4/server.crt
sudo chmod 640 /etc/pgadmin4/server.key /etc/pgadmin4/server.crt
• 重启pgAdmin服务：使配置生效：
  sudo systemctl restart pgadmin4
• 验证SSL连接：通过浏览器访问https://<服务器IP>:5051（默认端口为5051，若修改过需替换），确认地址栏显示锁图标（表示HTTPS加密连接成功）。

4. 配置访问控制

• PostgreSQL层面：编辑pg_hba.conf文件（通常位于/etc/postgresql/<版本>/main/），限制允许连接到数据库的用户和IP地址。例如，仅允许本地用户通过密码认证连接，远程客户端需使用SSL：

  host    all             all             127.0.0.1/32            md5
  hostssl all             all             192.168.1.0/24          md5  # 仅允许192.168.1.0/24网段通过SSL连接
  

  修改后重启PostgreSQL服务：sudo systemctl restart postgresql
• pgAdmin用户权限：在pgAdmin Web界面中，为用户分配最小必要权限（如“只读”或“读写”），避免过度授权。禁用默认的admin账户或修改其密码，防止未授权访问。

5. 定期更新与补丁管理

• 更新系统与软件：定期更新CentOS系统、PostgreSQL数据库和pgAdmin到最新稳定版本，修复已知安全漏洞。执行命令：
  sudo yum update -y
  注意：pgAdmin需通过EPEL仓库安装，更新时需同步更新仓库信息。
• 关注安全公告：订阅pgAdmin官方安全公告（如GitHub Releases页面），及时应用安全补丁，应对新出现的安全威胁。

6. 启用审计日志记录

• 配置pgAdmin日志：编辑pgAdmin配置文件（/usr/lib/python3.6/site-packages/pgadmin4-web/config_local.py），开启详细日志记录，保留足够长时间（建议≥1年，满足PCI DSS要求）。示例如下：
  LOG_LEVEL = 'DEBUG'
LOG_FILE = '/var/log/pgadmin/audit.log'
LOG_ROTATION_SIZE = 10 # 单个日志文件最大10MB
  LOG_ROTATION_AGE = 7 # 日志保留7天后轮转
• 监控日志：定期检查/var/log/pgadmin/audit.log文件，关注异常登录（如多次失败登录）、未授权操作（如删除数据库）等行为。可结合fail2ban工具自动封禁频繁失败的IP地址。

7. 限制不必要的服务与功能

• 禁用PostgreSQL不必要服务：编辑PostgreSQL配置文件（postgresql.conf，通常位于/etc/postgresql/<版本>/main/），关闭未使用的功能，减少攻击面。示例如下：
  wal_level = replica # 仅保留必要的WAL级别
  max_replication_slots = 0 # 禁用复制槽
• 关闭pgAdmin不必要插件：在pgAdmin Web界面中，禁用不常用的插件或扩展（如第三方工具集成），避免潜在的安全风险。

8. 其他安全措施

• 使用HTTPS反向隧道：通过Nginx或Apache等Web服务器托管pgAdmin，配置SSL证书（如Let’s Encrypt免费证书），强制使用HTTPS协议访问。隐藏默认端口（5050），增加攻击难度。示例如下（Nginx配置）：

  server {
      listen 443 ssl;
      server_name pgadmin.example.com;
      ssl_certificate /etc/letsencrypt/live/pgadmin.example.com/fullchain.pem;
      ssl_certificate_key /etc/letsencrypt/live/pgadmin.example.com/privkey.pem;
      location / {
          proxy_pass http://localhost:5050;
          proxy_set_header Host $host;
          proxy_set_header X-Real-IP $remote_addr;
      }
  }
  

  重启Nginx服务：sudo systemctl restart nginx
• 数据备份：定期备份pgAdmin配置文件（如/etc/pgadmin4/）和PostgreSQL数据库，将备份文件存储在安全位置（如异地服务器、云存储）。测试备份文件的恢复流程，确保在安全事件（如数据泄露、系统崩溃）发生时能够快速恢复。