Kaspersky Security Center

Szenario: Authentifizierung am PostgreSQL-Server

10. September 2024

ID 257050

Alle erweitern | Alles ausblenden

Es wird empfohlen, für die Authentifizierung am PostgreSQL-Servers ein TLS-Zertifikat zu verwenden. Sie können ein Zertifikat einer vertrauenswürdigen Zertifizierungsstelle (certificate authority - CA) oder ein selbstsigniertes Zertifikat verwenden.

Der Administrationsserver unterstützt für PostgreSQL sowohl die unidirektionale als auch die bidirektionale SSL-Authentifizierung.

Gehen Sie folgendermaßen vor, um die SSL-Authentifizierung für PostgreSQL zu konfigurieren:

  1. Generieren Sie ein Zertifikat für den PostgreSQL-Server.

    Führen Sie die folgenden Befehle aus:

    openssl req -new -x509 -days 365 -nodes -text -out psql.crt -keyout psql.key -subj "/CN=psql"

    chmod og-rwx psql.key

  2. Generieren Sie ein Zertifikat für den Administrationsserver.

    Führen Sie die folgenden Befehle aus. Der CN-Wert sollte mit dem Namen des Benutzers übereinstimmen, der sich im Namen des Administrationsservers mit PostgreSQL verbindet. Der Benutzername ist standardmäßig auf "postgres" eingestellt.

    openssl req -new -x509 -days 365 -nodes -text -out postgres.crt -keyout postgres.key -subj "/CN=postgres"

    chmod og-rwx postgres.key

  3. Konfigurieren Sie die Authentifizierung des Client-Zertifikats.

    Ändern Sie die Datei "pg_hba.conf" wie folgt:

    hostssl mydb myuser 192.168.1.0/16 scram-sha-256

    Stellen Sie sicher, dass die Datei "pg_hba.conf" keinen Eintrag enthält, der mit host beginnt.

  4. Geben Sie das PostgreSQL-Zertifikat an.

    Für die unidirektionale SSL-Authentifizierung

    Für die bidirektionale SSL-Authentifizierung

  5. Starten Sie den PostgreSQL-Daemon neu.

    Führen Sie den folgenden Befehl aus:

    systemctl restart postgresql-14.service

  6. Geben Sie das Server-Flag für den Administrationsserver an.

    Für die unidirektionale SSL-Authentifizierung

    Für die bidirektionale SSL-Authentifizierung

  7. Starten Sie den Dienst des Administrationsservers neu.

War dieser Artikel hilfreich?
Helfen Sie uns, diesen Artikel zu verbessern. Wählen Sie den Grund für Ihre Bewertung:
Danke für Ihr Feedback! Sie helfen uns, besser zu werden.
Danke für Ihr Feedback! Sie helfen uns, besser zu werden.