Сценарий: PostgreSQL Server серверінің аутентификациясы

Барлығын жаю | Барлығын жию

PostgreSQL серверінің аутентификациясы үшін TLS сертификатын пайдалану ұсынылады. Сенімді сертификаттау орталығының (СА) сертификатын немесе өздігінен қол қойылған сертификатты қолдана аласыз. Сенімді сертификаттау орталығының (CA) сертификатын қолдану ұсынылады, себебі өздігінен қол қойылған сертификат тек шектеулі қорғанысты қамтамасыз етеді.

Басқару сервер PostgreSQL үшін бір жақты және екі жақты SSL аутентификациясына қолдау көрсетеді.

PostgreSQL бойынша SSL аутентификациясын орнату үшін мына қадамдарды орындаңыз:

1. PostgreSQL сервері үшін сертификат жасаңыз.

   Келесі пәрмендерді орындаңыз:

   openssl req -new -x509 -days 365 -nodes -text -out psql.crt -keyout psql.key -subj "/CN=psql"

   chmod og-rwx psql.key

2. Басқару сервер үшін сертификат жасаңыз.

   Келесі пәрмендерді орындаңыз. CN мәні Басқару сервер атынан PostgreSQL-ге қосылатын пайдаланушының атына сәйкес болуы керек. Әдепкі пайдаланушы аты - postgres.

   openssl req -new -x509 -days 365 -nodes -text -out postgres.crt -keyout postgres.key -subj "/CN=postgres"

   chmod og-rwx postgres.key

3. Клиент сертификатының аутентификациясын орнатыңыз.

   pg_hba.conf келесідей өзгертіңіз:

   hostssl all all 0.0.0.0/0 md5

   pg_hba.conf ішінде host деп басталатын жазба жоқ екеніне көз жеткізіңіз.

4. PostgreSQL сертификатын көрсетіңіз.

   Бір жақты SSL аутентификациясы

   postgresql.conf файлын келесідей өзгертіңіз (.crt және .key файлдарына дұрыс жолды көрсетіңіз):

   listen_addresses ='*'

   ssl = on

   ssl_cert_file = 'psql.crt'

   ssl_key_file = 'psql.key'

   Екі жақты SSL аутентификациясы

   postgresql.conf файлын келесідей өзгертіңіз (.crt және .key файлдарына дұрыс жолды көрсетіңіз):

   listen_addresses ='*'

   ssl = on

   ssl_ca_file = '<postgres.crt>'

   ssl_cert_file = '<psql.crt>'

   ssl_key_file = '<psql.key>'

5. PostgreSQL демонын қайта іске қосыңыз.

   Келесі пәрменді орындаңыз:

   systemctl restart postgresql-14.service

6. Басқару сервер үшін сервер жалаушасын көрсетіңіз.

   Бір жақты SSL аутентификациясы

   ServerFlags каталогіне өтіп, KLSRV_POSTGRES_OPT_SSL_CA сервер жалаушасына сәйкес файлды жасаңыз:

   cd /etc/opt/kaspersky/klnagent_srv/1093/1.0.0.0/ServerFlags/

   mkfile KLSRV_POSTGRES_OPT_SSL_CA

   Құрылған файлда psql.crt файлына жолды көрсетіңіз.

   Екі жақты SSL аутентификациясы

   ServerFlags каталогіне өтіп, сервер жалаушаларына сәйкес файлдарды жасаңыз:

   cd /etc/opt/kaspersky/klnagent_srv/1093/1.0.0.0/ServerFlags/

   mkfile KLSRV_POSTGRES_OPT_SSL_CA

   mkfile KLSRV_POSTGRES_OPT_SSL_CERT

   mkfile KLSRV_POSTGRES_OPT_SSL_KEY

   Жасалған файлдарды келесідей өзгертіңіз:

   • KLSRV_POSTGRES_OPT_SSL_CA: psql.crt файлына жолды көрсетіңіз.
   • KLSRV_POSTGRES_OPT_SSL_CERT: postgres.crt файлына жолды көрсетіңіз.
   • KLSRV_POSTGRES_OPT_SSL_KEY: postgres.key файлына жолды көрсетіңіз.

   Егер postgres.key үшін құпия фраза қажет болса, ServerFlags қалтасында KLSRV_POSTGRES_OPT_TLS_PASPHRASE файлын жасаңыз және ондағы құпия фразаны көрсетіңіз.

7. Басқару сервері қызметін қайта іске қосыңыз.