it-swarm.asia

هل تريد إجبار عملاء PostgreSQL على استخدام SSL؟

لقد قمت بتكوين ssl = on في postgresql.conf (وتثبيت شهادة الخ). هل يضمن ذلك اتصال جميع العملاء دائمًا عبر SSL؟

(أي لا ssl = on يجعل من المستحيل الاتصال بدون تشفير SSL؟)

هل هناك طرق أخرى لضمان اتصال جميع العملاء دائمًا عبر SSL/TLS؟

مع أطيب التحيات ، KajMagnus

31
KajMagnus

ssl = on يتيح فقط إمكانية استخدام SSL.

للتأكد من أن جميع العملاء يستخدمون SSL ، أضف hostssl أسطر في pg_hba.conf ، على سبيل المثال ،

hostssl  all  all  0.0.0.0/0  md5

وإزالة جميع الأسطر Host. (حسنًا ، ربما احتفظ بالآخرين لـ localhost.)

إذا كانت الرغبة في إجبار العميل على إرسال شهادة ، عندها md5 يجب تغييره إلى cert. على سبيل المثال ،

hostssl  all  all  0.0.0.0/0  cert
29
Peter Eisentraut

لا ، هذا ببساطة يتيح استخدام SSL. تحتاج أيضًا إلى إجراء التغييرات المناسبة على ملفك pg_hga.conf .

13
gsiems