情境：驗證 PostgreSQL 伺服器

延伸所有 | 折疊所有

我們建議您使用 TLS 憑證對 PostgreSQL 伺服器進行身分驗證。您可使用來自信任的憑證授權單位 (CA) 或自簽發憑證。請使用來自信任 CA 的憑證，因為自簽發憑證僅提供有限防護。

管理伺服器支援 PostgreSQL 的單向和雙向 SSL 身分驗證。

請按照以下步驟為 PostgreSQL 配置 SSL 身分驗證：

1. 為 PostgreSQL 伺服器產生憑證。

   執行以下指令：

   openssl req -new -x509 -days 365 -nodes -text -out psql.crt -keyout psql.key -subj "/CN=psql"

   chmod og-rwx psql.key

2. 為管理伺服器產生憑證。

   執行以下指令。CN 值應與代表管理伺服器連線到 PostgreSQL 的使用者名稱相符。預設情況下，使用者名稱被設定為 postgres。

   openssl req -new -x509 -days 365 -nodes -text -out postgres.crt -keyout postgres.key -subj "/CN=postgres"

   chmod og-rwx postgres.key

3. 配置用戶端憑證身分驗證。

   修改 pg_hba.conf 如下：

   hostssl all all 0.0.0.0/0 md5

   確保 pg_hba.conf 不包含以host開頭的記錄。

4. 指定 PostgreSQL 憑證。

   單向 SSL 身分驗證

   修改 postgresql.conf 如下（指定 .crt 和 .key 檔案的正確路徑）：

   listen_addresses ='*'

   ssl = on

   ssl_cert_file = 'psql.crt'

   ssl_key_file = 'psql.key'

   雙向 SSL 身分驗證

   修改 postgresql.conf 如下（指定 .crt 和 .key 檔案的正確路徑）：

   listen_addresses ='*'

   ssl = on

   ssl_ca_file = '<postgres.crt>'

   ssl_cert_file = '<psql.crt>'

   ssl_key_file = '<psql.key>'

5. 重新啟動 PostgreSQL 精靈進程。

   執行以下指令：

   systemctl restart postgresql-14.service

6. 指定管理伺服器的伺服器標誌。

   單向 SSL 身分驗證

   導航到 ServerFlags 目錄並建立與 KLSRV_POSTGRES_OPT_SSL_CA 伺服器標誌對應的檔案：

   cd /etc/opt/kaspersky/klnagent_srv/1093/1.0.0.0/ServerFlags/

   mkfile KLSRV_POSTGRES_OPT_SSL_CA

   在建立的檔案中，指定 psql.crt 檔案的路徑。

   雙向 SSL 身分驗證

   導航到 ServerFlags 目錄並建立與伺服器標誌對應的檔案：

   cd /etc/opt/kaspersky/klnagent_srv/1093/1.0.0.0/ServerFlags/

   mkfile KLSRV_POSTGRES_OPT_SSL_CA

   mkfile KLSRV_POSTGRES_OPT_SSL_CERT

   mkfile KLSRV_POSTGRES_OPT_SSL_KEY

   編輯建立的檔案如下：

   • KLSRV_POSTGRES_OPT_SSL_CA：指定 psql.crt 檔案的路徑。
   • KLSRV_POSTGRES_OPT_SSL_CERT：指定 postgres.crt 檔案的路徑。
   • KLSRV_POSTGRES_OPT_SSL_KEY：指定 postgres.key 檔案的路徑。

   如果 postgres.key 需要密碼，請在 ServerFlags 資料夾中建立 KLSRV_POSTGRES_OPT_TLS_PASPHRASE 檔案並在其中指定密碼。

7. 重新啟動管理伺服器服務。