pgadmin在ubuntu上的安全性 - 问答

Ubuntu 上 pgAdmin 的安全性实践

一安全架构与部署原则

二身份与访问控制

强密码与周期更换：为 pgAdmin 管理员与数据库超级用户 postgres设置复杂密码，建议每 3–6 个月更换一次。
精细化防火墙：使用 ufw 仅放行受信来源访问 pgAdmin 端口（默认 5050），如：sudo ufw allow from 192.168.1.100 to any port 5050/tcp。
数据库 ACL：在 pg_hba.conf 中限制来源网段与认证方式，例如仅允许本地与受控网段使用 md5/ scram-sha-256，示例：
- host all all 127.0.0.1/32 md5
- host all all 192.168.1.0/24 md5
最小权限模型：在 pgAdmin/数据库中为应用与运维创建只读/读写角色，按需授予 CONNECT、USAGE、SELECT/INSERT/UPDATE/DELETE 等权限，避免滥用 ALL PRIVILEGES。

三传输加密与网络加固

更改默认端口：编辑 /etc/pgadmin4/config_local.py，设置如 WEB_PORT = 5051，降低自动化扫描命中率。
内置 HTTPS：生成证书并在 pgAdmin 启用
- 生成证书：sudo openssl req -x509 -nodes -days 365 -newkey rsa:2048 -keyout /etc/ssl/private/pgadmin.key -out /etc/ssl/certs/pgadmin.crt
- 配置：在 config_local.py 中设置
  - SSL_CERTFILE = ‘/etc/ssl/certs/pgadmin.crt’
  - SSL_KEYFILE = ‘/etc/ssl/private/pgadmin.key’
- 重启：sudo systemctl restart pgadmin4
反向代理 HTTPS（推荐生产）：使用 Nginx 终止 TLS，示例
- 安装：sudo apt install nginx
- 站点配置：监听 443 ssl，证书路径指向上述证书；proxy_pass 到 http://127.0.0.1:5050
- 启用站点并重启 Nginx
PostgreSQL 端加密：在 postgresql.conf 中启用 ssl = on 并配置证书，确保“浏览器→pgAdmin→数据库”全链路加密。

四日志审计与监控

pgAdmin 日志：默认路径 /var/log/pgadmin4/；可在 config_local.py 调整 LOG_LEVEL（如 DEBUG/INFO）与保留策略，用于追踪登录与操作。
PostgreSQL 日志：开启 logging_collector = on，设置 log_directory/log_filename，并使用 log_min_duration_statement 记录慢查询，便于性能与安全分析。
系统审计：部署 auditd 记录关键文件与目录访问
- 安装：sudo apt install auditd audispd-plugins linux-audit
- 启动：sudo systemctl enable --now auditd
- 按需添加规则（如监控 pgAdmin 配置与证书目录），使用 ausearch 检索审计事件。

五系统加固与运维

及时更新：定期执行 sudo apt update && sudo apt upgrade，并启用 unattended-upgrades 自动安装安全补丁，覆盖操作系统与 pgAdmin/PostgreSQL。
服务最小化与隔离：仅开放必要端口与服务；为 pgAdmin 配置专用系统用户与最小权限运行环境。
入侵防护：结合 fail2ban 监控 pgAdmin 登录失败，自动封禁恶意来源 IP。
备份与演练：定期备份 pgAdmin 配置与数据库，并进行恢复演练，确保事件响应可用。

0 赞

0 踩