PostgreSQL数据库安全加固(三)——设置密码更换周期

已于 2023-02-20 14:25:52 修改
阅读量2.7k 收藏 5
点赞数 1
分类专栏: 数据库 PostgreSQL 文章标签: postgresql 数据库
于 2023-02-16 11:45:50 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/ma286388309/article/details/129057330
版权
文章介绍了如何在PostgreSQL中通过设置角色的有效期来模拟密码更换周期。首先查询pg_user系统表检查角色信息,然后使用ALTERROLE命令为角色设定一个有效期,最后验证设置是否成功。若需定期更改,建议编写自动化脚本来执行此过程。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

文章目录

前言

尽管PostgreSQL数据库不直接提供该密码更换周期功能,但是我们可以通过设置角色的有效期来强制指定,密码到期后, 将无法认证通过。

一、查询角色(账户)信息

连接数据库后,查询pg_user系统表即可查看所有的角色信息。如下图所示,一共创建了3个角色,且valuntil字段为空。

select * from pg_user;

在这里插入图片描述

二、设置角色有效期

请以数据库管理员(此处显示为“postgres”)身份,运行以下SQL为角色设置有效期。

#有效期时间根据自己需求指定
alter role admin1 valid until '2023-05-01';

在这里插入图片描述

三、验收是否设置成功

仍然可以通过查询pg_user系统表来查看自己设置的角色信息,如果valuntil字段为自己设置的时间,则表示设置成功。如下图所示。

select * from pg_user;

在这里插入图片描述

总结

`该项设置要求定期修改角色的有效期,如果你觉得这个过程繁琐或容易遗忘,那么也可以通过在数据库服务器上编写一个定期执行的shell脚本,将时间作为一个参数传入,定期执行alter role valid until '2023-01-01’命令即可。

大话云原生数据库中的存算分离
沉迷单车的追风少年
06-24 6443
在万物互联的大数据时代,数据库是大数据整个产业的基础设施之一,存储数据的仓库。如果要创建一个大数据的大厦,那么数据库就像这座大厦的地基,影响数据存储的速度、查询的速度、导出的速度等等。传统数据库在可靠性、安全性、拓展性、可用性、资源利用率等方面已经全面落后于云原生数据库,随着云生态的发展,云原生正被越来越多的人所关注。在“万物皆可上云”的时代,云原生数据库早已是最佳选择。............
【重识云原生】第四章云网络4.7.9节——NFV
junbaozi的专栏
06-30 1663
NFV即网络功能虚拟化(Network Functions Virtualization),其借鉴了x86服务器的架构,它将路由器、交换机、防火墙、负载均衡这些不同的网络功能封装成独立的模块化软件,通过在硬件设备上运行不同的模块化软件,从而在单一硬件设备上实现多样化的网络功能。通过借用IT的虚拟化技术虚拟化形成VM(虚拟机,Virtual Machine),然后将传统的CT业务部署到VM上。 ......
postgresql密码复杂度验证和有效期
debugcool的博客
07-31 1373
为了数据库安全以及应对等保测评等要求,我们需要设置密码复杂度。我们通过passwordcheck模块实现复杂度检测功能。
PostgreSQL限制密码有效期(每次增加180天)
小怪兽的博客
02-20 2292
创建用户时,可以使用如下语句,自动在当前时间的基础上增加180天,作为这个用户密码的有效时间。等到密码到期后或者临近的时候,可以使用SQL修改用户密码,并且重新定义密码有效期。(也可以直接指定时间,下面方法是为了不用自己算增加180天的天数)把生成的SQL粘贴执行。可以通过pg_roles这个视图查看用户的密码有效时间。
PostgreSQL 修改用户密码
最新发布
文牧之的博客
04-14 1193
使用postgres用户或具有CREATEROLE权限的用户执行。
Postgresql设置密码过期时间
cruiserdou的专栏
03-02 1625
postgresql
Postgresql 之 用户密码有效期设置
HighGO
04-23 8601
测试环境: 服务端 192.168.137.222 HighGoDB v4.1.1 对应PostgreSQL V9.5 客户端 192.168.137.220 1)在主机 192.168.137.222的highgo用户创建测试用户并设置密码过期: [highgo@hgdb01 ~]$ psql psql (4.1.1) PSQL: Release 4.1.1 Connected ...
PostgreSQL数据库安全加固(九)——向非特权用户提供尽可能少的信息
ma286388309的博客
02-20 395
数据库可能会通过不正确处理的错误消息无意中向攻击者提供大量信息。除了敏感的业务或个人信息之外,数据库错误还可以提供主机名,IP地址,用户名以及其他系统信息,这些信息不是故障排除所必需的,但对攻击系统的人非常有用。PostgreSQL必须向非特权用户提供尽可能少的信息,限制PostgreSQL数据库的日志级别,则不会泄露可被攻击者利用的信息。
PostgreSQL数据库安全加固(四)——数据库对象拥有者核查
ma286388309的博客
02-16 390
数据库对象(包括但不限于表,索引,存储,触发器过程,函数,外部表等)必须由授权拥有的数据库/ DBMS主体拥有。2、修改schema的所有者请执行以下命令。
渗透测试入门—— 常见术语概述
weixin_46694260的博客
12-26 9560
00x1 前言 刚入门小白,收集了一些渗透术语,废话不多说。 00x2 渗透术语 1.脚本 动态网站(如:asp,php,jsp), linux, python 2.网站 2.1静态网站:与后台交互比较少,如html) 2.2动态网站:使用动态脚本编写 如:asp,php,jsp,交互方便但是安全性不高,如果代码过滤不严格可能会导致漏洞最终导致后台linux被别人随意操作 3.http协议 http(HyperText Transfer Protocol),超文本传输协议。是因特网上应用最为广泛的一种网络传
2016阿里云121款产品和解决方案全向图(9月制)
科技D人生
10-09 5523
2016阿里云121款产品和解决方案全向图(9月制) 摘要: 云栖社区在9月底又更新了“2016阿里云产品全向图和解决方案全向图”。 导语:DT时代,一切都将走向数据化,可视化。在阿里云所阐述的“技术拓展商业的边界,商业驱动技术的变革”理念中,密集发布的新技术与产品让业内更加震撼,让用户更为惊喜。阿里云逐步实现了“将计算能力变成像水电一样的基础设施”的目标,走向“为了无法计算的价值”。
PostgreSQL 最佳安全配置.pdf
04-07
2020年PostgreSQL数据库最佳安全配置指导文档,通过配置安全选项,实现数据库的存储、传输和使用安全。
PostgreSQL数据库安全加固(十)——终止数据库空连接
ma286388309的博客
02-20 761
数据库会话可以在“重放”攻击中重用,会话ID可解决中间人攻击,包括会话劫持或将错误信息插入会话。如果攻击者无法识别或猜测与待处理的应用程序流量相关的会话信息,则他们将更难以劫持会话或以其他方式操纵有效会话。当用户注销或发生任何其他会话终止事件时,PostgreSQL必须终止用户会话以最大限度地减少会话被劫持的可能性。
PostgreSQL security usage guide
postgrechina的博客
10-14 763
本文是PostgreSQL使用安全指导性的文章,涉及详细的用法或原理请参考相关链接。 如何安全的使用PostgreSQL,让用户高枕无忧呢? 可以分为如下几个方面来加固你的数据库 一、认证安全 认证前的安全,端口暴露度的把握。 http://blog.163.com/digoal@126/blog/static/163877040201582993130518/ 认
PostgreSQL数据库安全加固(二)——设置密码验证失败延迟时间
ma286388309的博客
02-16 1748
PostgreSQL数据库设置密码验证失败延迟时间可以通过安装auth_delay扩展插件来实现,该设置主要是防止暴力破解,在验证失败后, 会延迟一段时间后,才能继续验证。除了需要在postgresql.conf配置文件中装载auth_delay模块,还需要增加auth_delay.milliseconds配置参数,否则该扩展模块的功能无法体现。
PG用户密码有效期设置
qq961573863的博客
04-22 1134
pg_user或pg_shadow中:列valuntil值为infinity或空值表示用户密码永不过期;
Postgres数据库用户密码有效期设置
lk的窝
10-26 6409
highgo=# select * from pg_user;  usename | usesysid | usecreatedb | usesuper | usecatupd | userepl |  passwd  | valuntil | useconfig  ---------+----------+-------------+----------+-----------+------
关于强制修改postgreSQL密码密码忘记)的方法
一枚JAVA萌新的进阶之旅
06-27 4307
在长久的工作中总会出现密码忘记的事情,在postgreSQL中,如果忘记密码,可以进行以下操作来在无需登录的情况下修改密码! 前提表明:我用的是windows系统,Linux系统没机会、没条件尝试 一、首先关闭服务,Windows系统可以按win键+R调用运行,键入 services.msc来进入服务管理,在列表中找到postgreSQL的服务,右键停止,如下图: 二、找到p
PostgreSQL实现psql连接时候提示用户的密码有效时间】
小怪兽的博客
02-21 1023
我这里写了两种,一种是只显示查看自己登陆的用户的有效期剩余时间,一种是一并显示数据库里所有的设置有效期的用户的剩余可使用天数,以及打印出剩余时间小于七天甚至已经过期的用户。首先是涉及到的判断是否需要修改密码有效期的查询SQL,这里根据距离过期前7天为标准作为是否需要修改密码的提示。2.一并显示数据库里所有的设置有效期的用户的剩余可使用天数,以及打印出剩余时间小于七天甚至已经过期的用户。函数需要在所有的数据库中创建,否则psql登陆会有如下的warning,但不影响使用。更改完之后重启数据库
postgresql数据库等保加固
01-08
### PostgreSQL 数据库等保加固方法指南 #### 一、环境准备与配置调整 为了确保PostgreSQL数据库能够满足等级保护的要求,首先要对操作系统层面进行必要的安全设置。这包括但不限于关闭不必要的服务端口和服务进程,更新至最新的稳定版本并打上官方发布的所有补丁。 对于PostgreSQL本身而言,在`postgresql.conf`文件中应合理设定参数以增强安全性: - `listen_addresses='localhost'`: 只监听本地连接请求,防止外部非法接入尝试; - `ssl=on`: 开启SSL加密通信支持,保障传输过程中的信息安全[^3]; ```sql ALTER SYSTEM SET listen_addresses TO 'localhost'; SELECT pg_reload_conf(); ``` #### 二、身份验证机制优化 采用强密码策略,并定期更换账户密码。推荐使用MD5或SCRAM-SHA-256作为客户端认证方式之一。此外还可以考虑集成LDAP/Kerberos等第方集中式认证平台实现统一的身份管理。 针对不同类型的用户分配最小权限原则下的角色和权限集,避免超级管理员账号被滥用的风险。 ```sql CREATE ROLE db_user WITH LOGIN PASSWORD 'complex_password!'; GRANT CONNECT ON DATABASE mydb TO db_user; REVOKE ALL PRIVILEGES ON SCHEMA public FROM PUBLIC; -- 默认撤销public schema公共访问权 ``` #### 、审计日志记录完善 启用详细的SQL语句执行历史追踪功能,以便于事后分析可能存在的异常行为模式。具体操作是在`postgresql.conf`里修改如下选项: - `logging_collector=on` - 设置合适的`log_directory`路径存储日志文件 - 调整`log_statement=all`来捕获所有的查询指令详情 同时建议部署专业的SIEM工具对接这些原始日志流做进一步处理挖掘价值信息。 #### 四、数据备份恢复计划制定 建立完善的冷热备灾体系,利用pg_basebackup命令配合wal_level逻辑复制槽位完成在线全量+增量式的高效备份作业流程。必要时引入商业级产品如PgBarman辅助管理和自动化运维工作。 关于基于LSN的日志序列号来进行块级别的精准还原,则可以通过pg_rman工具达成目标[^1]。 ```bash # 使用pg_basebackup创建基础备份 pg_basebackup -D /path/to/backupdir -Ft -z -P -v -U replication_user --checkpoint=fast ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

小马穿云

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值