certificados SSL soporte para PostgreSQL, donde, en circunstancias normales, la transmisión de datos PostgreSQL entre el servidor y el cliente se transmiten en texto claro, y que esto tiene un cierto riesgo para la seguridad.
Si se requiere el cifrado para después de instalado OpenSSL final del servicio, puede utilizar el comando openssl genera un par de clave privada y el certificado para el cifrado y descifrado de datos, entonces el archivo de configuración puede ser una modificación menor.
1. El uso de OpenSSL para generar una clave privada y el certificado, se puede escribir un script de shell para lograr.
openssl req -nodes -New -text -subj "/ C = CH / ST = Shanghai / L = Jinan / O = HighGo / CN = tbing" salida privado server.req openssl rsa -in privkey.pem salida privado ./server. clave openssl req -x509 -en server.req -text tecla ./server.key salida privado ./server.crt servidor CP. * $ PGDATA /../ data5433 / chmod 600 $ PGDATA /../ data5433 / servidor. $ clave PGDATA /../ data5433 / server.crt
Antes de ejecutar el archivo de script, nota que definen el directorio de datos de buena variable de entorno. Después de ejecutar la secuencia de comandos se encuentran dos archivos en el directorio de datos: server.key clave privada y el certificado server.crt. Estas dos claves tienen que modificar los permisos en un script de shell, de lo contrario la base de datos no se iniciará.
2. Modificar el archivo de configuración postgresql.conf, conexión SSL abierta.
ssl = en ssl_ciphers = 'Alta: Media: + 3DES: aNULL' ssl_prefer_server_ciphers = en ssl_ecdh_curve = 'prime256v1' ssl_cert_file = 'server.crt' ssl_key_file = 'server.key'
3. Perfil pg_hba.conf Modificar para hostssl conectado.
hostssl todos todos 0.0.0.0/0 md5
4 configuración válida
seleccionar pg_load_conf ();
5 conectarse a la base de datos, la pantalla cifrada
[postgres @ kbj-db-1 ~] $ psql -p5433 -hlocalhost -Upostgreadm -dpdb contraseña para ktccadmin usuario: psql (11.4) conexión SSL (protocolo: TLSv1.2, cifrado: ECDHE-RSA-AES256-GCM-SHA384 Bits: 256, compresión: apagado) Tipo de "ayuda" para obtener ayuda.
6 Ver etéreo
Hace cifrado:
tcpdump -t -s 0 -c 20 ip anfitrión 172.17.16.12 y 172.17.16.9 y el puerto 5433 -w ./potgresql-ssl_4.cap
cifrada:
