Ubuntu上pgAdmin安全设置指南
postgres用户的密码,使用强密码(包含大小写字母、数字和特殊字符,长度≥12位),避免使用默认密码。使用ufw(Uncomplicated Firewall)工具限制对pgAdmin的访问:
sudo ufw allow from 192.168.1.100 to any port 5050 # 允许特定IP访问
sudo ufw enable # 启用防火墙
/etc/pgadmin/ssl)。mkdir -p /etc/pgadmin/ssl
openssl req -new -x509 -days 365 -nodes -newkey rsa:2048 \
-keyout /etc/pgadmin/ssl/pgadmin.key \
-out /etc/pgadmin/ssl/pgadmin.crt \
-subj "/CN=pgadmin.example.com"
/etc/pgadmin/pgadmin.conf),开启SSL并指定证书路径。[server]
ssl = on
ssl_cert_file = /etc/pgadmin/ssl/pgadmin.crt
ssl_key_file = /etc/pgadmin/ssl/pgadmin.key
sudo systemctl restart pgadmin4
编辑PostgreSQL的pg_hba.conf文件(通常位于/etc/postgresql/<version>/main/),限制允许连接到数据库的用户和IP地址。例如,仅允许本地用户通过密码认证连接:
# TYPE DATABASE USER ADDRESS METHOD
host all all 127.0.0.1/32 md5
host all all ::1/128 md5
修改后重启PostgreSQL服务:
sudo systemctl restart postgresql
admin账户或修改其密码,防止未授权访问。定期更新PostgreSQL数据库服务器和pgAdmin到最新稳定版本,修复已知安全漏洞。使用以下命令更新系统软件包:
sudo apt update && sudo apt upgrade -y
同时,关注pgAdmin官方安全公告(如GitHub Releases页面),及时应用安全补丁。
/var/log/pgadmin/目录下,定期检查日志文件(如pgadmin4.log),关注异常登录、未授权操作等行为;Prometheus+Granafa等工具实时监控pgAdmin和PostgreSQL的运行状态,设置异常告警(如CPU占用过高、登录失败次数过多),及时响应安全事件。定期备份PostgreSQL数据库,使用pg_dump工具创建完整备份或增量备份,将备份文件存储在安全位置(如异地服务器、云存储)。示例命令:
pg_dump -U postgres -h localhost -F c -b -v -f /backup/pgdb_backup.dump mydatabase
测试备份文件的恢复流程,确保在安全事件(如数据泄露、系统崩溃)发生时能够快速恢复数据。
postgresql.conf文件,关闭未使用的功能(如远程复制、通知服务),减少攻击面。示例配置:wal_level = replica # 仅保留必要的WAL级别
max_replication_slots = 0 # 禁用复制槽
通过Nginx或Apache等Web服务器托管pgAdmin,配置SSL证书(如Let’s Encrypt免费证书),强制使用HTTPS协议访问pgAdmin,防止数据在传输过程中被窃取。同时,配置Web服务器反向隧道,隐藏pgAdmin的默认端口(如5050),增加攻击难度。
示例Nginx配置:
server {
listen 443 ssl;
server_name pgadmin.example.com;
ssl_certificate /etc/letsencrypt/live/pgadmin.example.com/fullchain.pem;
ssl_certificate_key /etc/letsencrypt/live/pgadmin.example.com/privkey.pem;
location / {
proxy_pass http://localhost:5050;
proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
}
}
重启Nginx服务使配置生效:
sudo systemctl restart nginx