Postgre SQL数据库安全防护_第1页
Postgre SQL数据库安全防护_第2页
Postgre SQL数据库安全防护_第3页
Postgre SQL数据库安全防护_第4页
Postgre SQL数据库安全防护_第5页
已阅读5页,还剩42页未读 继续免费阅读

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

1、Postgre SQL数据库安全防护数据库泄露事件解读roottar1 # netstat -anpo|grep post:*:*:*:*tcp00 :5431tcp00 :5432tcp600 :1:5431tcp600 :5432udp600 :1:60414:1:60414LISTEN3106/postmasteroff (0.00/0/0) LISTEN3108/postmasteroff (0.00/0/0)LISTEN3106/postmasteroff (0.00/0/0)LISTEN3108/postmasteroff (0.00/0/0) ESTABLISHED 3106/p

2、ostmasteroff (0.00/0/0)udp600 :1:42055:1:42055ESTABLISHED 3108/postmasteroff (0.00/0/0)unix 2 ACC STREAMLISTENING302343108/postmaster/tmp/.s.PGSQL.5432 ACC STREAM ACC STREAM ACC STREAMLISTENING300333108/postmaster/var/run/postgresql/.s.PGSQL.5432 LISTENING298383106/postmaster/tmp/.s.PGSQL.5431LISTEN

3、ING298363106/postmaster/var/run/postgresql/.s.PGSQL.5431unix 2unix 2unix 2unix 3unix 3unix 3 STREAM STREAM STREAMCONNECTED CONNECTED CONNECTED288793150/postgres: logg6458411442/postgres: pos /var/run/postgresql/.s.PGSQL.5432 289903170/postgres: loggMD5认证MD5是输入不定长度信息,输出固定长度128-bits的算法。经过程序流程,生成四个32位数

4、 据,最后联合起来成为一个128-bits散列。基本方式为,求余、取余、调整长度、与链接变 量进行循环运算。得出结果。MD5认证的风险postgres=# SELECT MD5;md5-6b20baafbf7b650712b3d8e9eda9ba51(1 行记录)如果直接给密码散列,黑客可以通过查散列值字典(例如MD5密码破解网站),得到某用 户的密码。MD5认证SCRAM-SHA-256 安全认证机制SSL原理 SSL是Secu re So ckets Layer(安全套接层协议)的缩写,其目标是保证 两个应用间通信的保密性和可靠性,可在服务器端和用户端同时实现支持

5、。 已经成为In tern et上保密通讯的工业标准。 SSL能使用户/服务器应用之间的通信不被攻击者窃听,并且始终对服务器进行认证,还可选择对用户进行认证。 SSL协议要求建立在可靠的传输层协议(TC P )之上。 SSL协议的优势在于它是与应用层协议独立无关的,高层的应用层协议(例如:H TTP,FTP,TELN ET等)能透明地建立于SSL协议之上。SSL协 议在应用层协议通信之前就已经完成加密算法、通信密钥的协商及服务 器认证工作。在此之后应用层协议所传送的数据都会被加密,从而保证 通信的私密性。SSL服务器端配置/var/lib/pgsql/data/:root.crt (trust

6、ed root certificate) server.crt (server certificate) server.key (private key)SSL客户端配置在服务器端产生3个文件openssl genrsa -des3 -out /tmp/postgresql.key 1024openssl rsa -in /tmp/postgresql.key -out /tmp/postgresql.keyopenssl req -new -key /tmp/postgresql.key -out /tmp/postgresql.csr -subj /C=CA/ST=British Colu

7、mbia/L=Comox/O=TheBrain.ca/CN=www-dataopenssl x509 -req -in /tmp/postgresql.csr -CA root.crt -CAkey server.key -out/tmp/postgresql.crt -CAcreateserial把上面3个文件拷贝到客户端的/tmp/下Copy the trusted root certificate root.crt from the server machine to the client machineSSL传输通道加密原理tcpdump -t -s 0 -c 20 ip host 8

8、1 and 82 -w ./ssl.cap利用wireshark对ssl.cap进行解析SSL的几种模式PGSSLMODE( sslmode )SSL的几种模式PGSSLMODE( sslmode )SSL的几种模式PGSSLMODE( sslmode )SSL的几种模式PGSSLMODE( sslmode )SSL的几种模式PGSSLMODE( sslmode )加密定义加密分层Disk-levelencryption(硬盘 层加密)Filesystem-levelencryption.(文件 系统层加密)Database-levelencryption(数据 库层加密)Applicatio

9、n-level encryption(应用 程序层加密)加密分层数据库加密数据库加密对称加密和非对称加密非对称加密 对称加密:有公匙和私匙,公匙用于加密,私匙用于解密:公匙和私匙相同pgcrypto 插件PG10以后,才是标配,以前都需要安装的。pgcrypto是contrib下的一个插件,它提供了一些加密函数,可以实现 服务器端的数据加密。生成 key注意要用 root 执行,否则提示其他错误gpg -gen-key查看生成的 keyroottar1 # gpg -k/root/.gnupg/pubring.gpg-pub 1024R/920485AA 2019-05-06uidkeyzzpsub 1024R/B74E6203 2

人人文库> 全部分类> 专业文献 > IT计算机

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

最新文档

评论

0/150

提交评论