pg_hba.conf

最新推荐文章于 2025-10-21 17:40:23 发布
原创 最新推荐文章于 2025-10-21 17:40:23 发布 · 1.4k 阅读 · 12 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#数据库

目录标题

概要

pg_hba.conf 是 PostgreSQL 用于控制客户端如何连接到服务器的主机基于认证(HBA)配置文件,它通过一系列按顺序排列的规则来决定允许哪些用户、从哪些地址、以何种方式访问哪些数据库。每条规则由“连接类型”、“数据库”、“用户”、“地址”、“认证方法”及可选“方法选项”六个字段组成。当客户端发起连接时,PostgreSQL 会自上而下匹配这些规则,一旦找到第一条匹配项便执行对应的认证,不会继续尝试后续规则,因此规则顺序非常关键。

1. 文件位置与注释

  • 默认位于 PostgreSQL 数据目录下(例如 /var/lib/pgsql/<version>/data/pg_hba.conf 或 Debian/Ubuntu 系统的 /etc/postgresql/<version>/main/pg_hba.conf)。
  • 文件中以 # 开头的行均为注释,会被忽略;空行同样被忽略,便于分组与说明。

2. 记录格式

# TYPE  DATABASE  USER  ADDRESS  METHOD  [OPTIONS]

  • TYPE:指定连接方式,可选值:

    • local:通过 Unix 域套接字连接
    • host:通过 TCP/IP 连接,支持 IPv4/IPv6
    • hostssl:仅通过 SSL 的 TCP/IP 连接
    • hostnossl:仅通过非 SSL 的 TCP/IP 连接

  • DATABASE:指定规则适用的数据库,可使用:

    • 数据库名(如 mydb
    • 逗号分隔列表(如 db1,db2
    • 关键字 all(所有数据库)
    • 关键字 replication(备用流复制连接)

  • USER:指定允许连接的用户,同样支持列表、正则(需括号)及关键字 all

  • ADDRESS:仅在 host* 类型下使用,用 CIDR 表示的客户端 IP 范围(如 192.168.1.0/24::1/128)。

  • METHOD:认证方法,如 trustmd5passwordpeergsssspiidentldapcert 等。

  • OPTIONS:视认证方法而定,如 map=xxx(对于 ident/peer)、clientcert=1(对于 cert),或用于 Kerberos/GSSAPI 等额外参数。

3. 认证方法简介

  • trust:无验证,任何匹配规则的客户端可直接连接,风险最高。
  • md5:基于 MD5 哈希的密码认证,是最常用的远程认证方式。
  • password:明文密码认证,仅在安全网络或 SSL 环境下使用。
  • peer(仅 local):使用操作系统用户身份匹配 PostgreSQL 用户。
  • ident(仅 host):通过 ident 服务器确认客户端操作系统用户名。
  • cert:基于客户端 SSL 证书的双向认证,需设置 hostsslclientcert=1

4. 规则匹配与优先级

  • PostgreSQL 严格按照文件顺序逐条匹配规则,首个满足所有字段条件的规则生效,之后不再继续匹配。
  • 若无任何规则匹配,连接被拒绝。
  • 因此,应先写最精确的规则(如特定数据库、用户与地址),再写更通用的规则(如 all)以避免意外放行或拒绝。

5. 包含指令与分块管理

  • 支持 include 'filename'include_if_exists 'filename'include_dir 'directory' 指令,可将规则拆分到多个文件,以便环境分层管理与版本控制。
  • include_dir 会按文件名顺序(C locale)加载所有 .conf 文件,便于插件或自动化工具生成额外规则。

6. 查看与验证规则

  • 使用内置视图可检验规则加载情况:

    SELECT * FROM pg_hba_file_rules;

    该视图列出了每条记录的生效情况、源文件及行号,有助于诊断规则是否按预期匹配。

  • 修改 pg_hba.conf 后,无需重启 PostgreSQL,只需执行:

    pg_ctl reload -D <data_directory>

    或在 SQL 中运行:

    SELECT pg_reload_conf();

7. 最佳实践

  1. 最小授权原则:对不同环境(内网、管理网)使用不同规则文件,避免使用 trust
  2. 分组管理:将生产、测试、开发规则拆分到不同目录并通过 include_dir 引入;
  3. 定期审计:结合 pg_hba_file_rules、日志审计相互验证,确保证书、用户映射等配置未被绕过;
  4. 版本控制:将 pg_hba.conf 及包含文件一并纳入版本管理,保证变更可追溯;
  5. 自动化验证:在 CI/CD 流水线中加入配置扫描,检测开放的 IP 段与弱认证方法(如 passwordtrust)。

以上即为 pg_hba.conf 配置文件的结构与含义详细解读,涵盖了字段说明、认证方法、匹配机制、包含指令及运维最佳实践,供日常环境安全配置和审计参考。

【0211】tcpdump抓包分析pg_hba.conf以password作为认证证方式下frontend与Backend之间身份验证过程(13 - 1)
Postgres 数据库内核开发工程师
06-19 1910
下的frontend与Backend进程之间的通信过程。结合抓包方式,分析了Backend进程向frontend、frontend向Backend进程等发送的报文,以及各自报文中的详细内容。本文开始,将通过tcpdump抓包分析,结合源码方式,详细讲解当PG数据库在。在前面的几篇文章中,详细讲解了PG数据库在。这个认证过程和前面那几篇文章中讲解的。认证方式下的交互过程一致。
PG基础知识】四 PostgreSQL客户端认证pg_hba.conf文件
DBA之路的博客
10-26 3056
用户在连接到PG数据库之前首先要经过文件的验证,可以理解为建立连接之前的白名单或者客户端认证客户端认证是由一个配置文件(通常名为并被存放在数据库集簇目录中)控制(HBA表示基于主机的认证)。在initdb初始化数据目录时,它会安装一个默认的文件。不过我们也可以把认证配置文件放在其它地方;参阅配置参数。
配置gp库连接的ip权限
生如夏花之灿烂
11-23 2141
pg_hba.conf文件中添加对应ip的配置:host all gpadmin ipaddress/32 trust gpadmin是登录用户,32代表ipv4的ip连接 然后su gpadmin命令,使用gpstop -u刷新配置即可
Postgres pg_hba.conf文件
bin9wei的博客
12-07 2997
pg_hba文件介绍
pg hba.conf用途详解
最新发布
小诸葛的博客
10-21 424
在 PostgreSQL(简称 PG)中,指的是——当客户端尝试连接数据库时,。简单说就是:客户端说“我是 user1”,PostgreSQL 会根据里配置的决定要怎么验证这个 user1。
Postgresql杂谈 01—访问控制配置文件pg_hba.conf的介绍
Hyman的博客
07-12 4850
一、文件结构介绍 PostgresSql的访问控制文件pg_hba.conf位于/var/lib/pgsql/11/data,主要的作用是控制控制哪些IP地址可以访问数据库。 # TYPE DATABASE USER METHOD # "local" is for Unix domain socket connections only local all all ...
pg_hba.conf 文件详解
weixin_34378922的博客
11-27 1092
2019独角兽企业重金招聘Python工程师标准>>> ...
PostgreSQL 10.1 手册_部分 III. 服务器管理_第 20 章 客户端认证_20.1. pg_hba.conf文件...
weixin_34239592的博客
10-03 290
20.1.pg_hba.conf文件 客户端认证是由一个配置文件(通常名为pg_hba.conf并被存放在数据库集簇目录中)控制(HBA表示基于主机的认证)。在initdb初始化数据目录时,它会安装一个默认的pg_hba.conf文件。不过我们也可以把认证配置文件放在其它地方; 参阅hba_file配置参数。 pg_hba.conf文件的常用格式...
pg_hba.conf文件说明与配置
热门推荐
hmxz2nn的博客
11-04 2万+
客户端访问和认证受到标准的PostgreSQL的基于主机的认证文件(pg_hba.conf)的控制。在Greenplum数据库中,Master实例的pg_hba.conf文件控制对Greenplum数据库系统的客户端访问及认证。Greenplum数据库的Segment也有pg_hba.conf文件,它们被配置来只允许来自Master主机的客户端连接并且永不接受客户端连接。不要在Segment上更改...
PostgreSQL连接安全深度剖析:pg_hba.conf地址配置精要与实战陷阱全解
杜哥无敌的博客
06-21 1243
通过精准理解地址配置语义和匹配机制,即可构建坚如磐石的PostgreSQL安全防线,让数据库连接既安全又便捷。⚠️ 根本问题:127.0.0.1属于0.0.0.0/0范围,优先触发第一条规则。💡 用户问题分析:为什么在DBeaver配置localhost, "组合使用:连接类型控制 + IP过滤 + 强认证 + 传输加密。✅ 确认DBeaver使用localhost而非IP连接。✅ 127.0.0.1/32规则使用trust方法。✅ ::1/128规则置于0.0.0.0/0之前。,两者均开放全网访问!
PostgreSQL pg_hba.conf 配置
sunny05296的博客
01-30 4971
host all all 127.0.0.1/32 ident username //这里username表示某个没有建立映射的用户,不写默认可以用postgres用户登录,postgres用户安装的时候自动创建postgres用户,postgres相当于是数据库的管理员账号。用户映射文件为pg_ident.conf,这个文件记录着与操作系统用户匹配的数据库用户,如果某操作系统用户在本文件中没有映射用户,则默认的映射数据库用户与操作系统用户同名。reject :联接无条件拒绝。
postgresql pg_hba.conf 配置详解
耕耘
12-04 9160
postgresql pg_hba.conf 配置详解
postgresql pg_hba.conf 简介及配置详解例子解析
IT老农民的博客
09-30 3248
是 PostgreSQL 数据库中用于控制客户端认证的配置文件,全称为 “Host-Based Authentication”(基于主机的认证)。这个文件定义了哪些主机、哪些用户以及通过何种认证方式可以连接到数据库服务器。以下是文件的基本配置详解和一些常见例子。
PostgreSQL技术大讲堂 - Part 9:pg_hba.conf配置
m0_65303136的博客
03-06 1718
PostgreSQL从小白到专家,是从入门逐渐能力提升的一个系列教程,内容包括对PG基础的认知、包括安装使用、包括角色权限、包括维护管理、、等内容,希望对热爱PG、学习PG的同学们有帮助,欢迎持续关注CUUG PG技术大讲堂。以上就是Part 9 - PostgreSQL实例连接访问控制 的内容,欢迎进群一起探讨交流,钉钉交流群:35,82,24,60,往期视频文档可以联系cuug咨询老师。scram-sha-256:这是当前提供的方法中最安全的一种,但是旧的客户端库不支持这种方法。
4.pg_hba.conf postgresql安全管理配置文件说明
weixin_43346403的博客
03-22 1642
pg_hba.conf
pg_hba. conf
07-16
嗯,用户要求我根据系统级指令和用户查询来回答关于PostgreSQL pg_hba.conf配置文件的问题。首先,我需要仔细阅读用户提供的系统级指令,确保在回答时严格遵守格式要求。所有行内数学表达式要用$...$,独立公式用$$....
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值