Scenariusz: uwierzytelnianie serwera PostgreSQL

Pomoc techniczna

Pomoc dla biznesu

Kaspersky Security Center 15 Linux

Pierwsze kroki

Instalacja

Scenariusz: uwierzytelnianie serwera PostgreSQL

27 kwietnia 2024

ID 257050

Zapisz jako PDF

Rozwiń wszystko | Zwiń wszystko

Zalecamy użycie certyfikatu TLS do uwierzytelnienia serwera PostgreSQL. Możesz użyć certyfikatu z zaufanego urzędu certyfikacji lub certyfikatu z podpisem własnym. Użyj certyfikatu z zaufanego urzędu certyfikacji, ponieważ certyfikat z podpisem własnym zapewnia tylko ograniczoną ochronę.

Serwer administracyjny obsługuje zarówno jednokierunkowe, jak i dwukierunkowe uwierzytelnianie SSL dla PostgreSQL.

Wykonaj poniższe kroki, aby skonfigurować uwierzytelnianie SSL dla PostgreSQL:

Wygeneruj certyfikat dla serwera PostgreSQL.
Uruchom następujące polecenia:

openssl req -new -x509 -days 365 -nodes -text -out psql.crt -keyout psql.key -subj "/CN=psql"

chmod og-rwx psql.key
Wygeneruj certyfikat dla Serwera administracyjnego.
Uruchom następujące polecenia. Wartość CN powinna odpowiadać nazwie użytkownika, który łączy się z PostgreSQL w imieniu Serwera administracyjnego. Domyślnie nazwa użytkownika jest ustawiona na postgres.

openssl req -new -x509 -days 365 -nodes -text -out postgres.crt -keyout postgres.key -subj "/CN=postgres"

chmod og-rwx postgres.key
Skonfiguruj uwierzytelnianie certyfikatu klienta.
Zmodyfikuj plik pg_hba.conf w następujący sposób:

hostssl all all 0.0.0.0/0 md5

Upewnij się, że plik pg_hba.conf nie zawiera rekordu rozpoczynającego się od host.
Określ certyfikat PostgreSQL.
Jednokierunkowe uwierzytelnianie SSL

Zmodyfikuj plik postgresql.conf w następujący sposób (podaj poprawną ścieżkę do plików .crt i .key):

listen_addresses ='*'

ssl = on

ssl_cert_file = 'psql.crt'

ssl_key_file = 'psql.key'

Dwukierunkowe uwierzytelnianie SSL

Zmodyfikuj plik postgresql.conf w następujący sposób (podaj poprawną ścieżkę do plików .crt i .key):

listen_addresses ='*'

ssl = on

ssl_ca_file = '<postgres.crt>'

ssl_cert_file = '<psql.crt>'

ssl_key_file = '<psql.key>'
Uruchom ponownie demona PostgreSQL.
Uruchom następujące polecenie:

systemctl restart postgresql-14.service
Określ flagę serwera dla Serwera administracyjnego.
Jednokierunkowe uwierzytelnianie SSL

Przejdź do katalogu ServerFlags i utwórz plik odpowiadający fladze serwera KLSRV_POSTGRES_OPT_SSL_CA:

cd /etc/opt/kaspersky/klnagent_srv/1093/1.0.0.0/ServerFlags/

mkfile KLSRV_POSTGRES_OPT_SSL_CA

W utworzonym pliku określ ścieżkę do pliku psql.crt.

Dwukierunkowe uwierzytelnianie SSL
Przejdź do katalogu ServerFlags i utwórz pliki odpowiadające flagom serwera:

cd /etc/opt/kaspersky/klnagent_srv/1093/1.0.0.0/ServerFlags/

mkfile KLSRV_POSTGRES_OPT_SSL_CA

mkfile KLSRV_POSTGRES_OPT_SSL_CERT

mkfile KLSRV_POSTGRES_OPT_SSL_KEY

Edytuj utworzone pliki w następujący sposób:
- KLSRV_POSTGRES_OPT_SSL_CA: określ ścieżkę do pliku psql.crt.
- KLSRV_POSTGRES_OPT_SSL_CERT: określ ścieżkę do pliku postgres.crt.
- KLSRV_POSTGRES_OPT_SSL_KEY: określ ścieżkę do pliku postgres.key.
Jeśli plik postgres.key wymaga hasła, utwórz plik KLSRV_POSTGRES_OPT_TLS_PASPHRASE w folderze ServerFlags i podaj w nim hasło.
Uruchom ponownie usługę Serwera administracyjnego.

Kaspersky Endpoint Security for Linux: High protection without performance compromising

Detects and blocks advanced threats. Buy as part of Endpoint Security for Business Advanced.

Kaspersky Premium Support (MSA): High‑priority incident processing

Telephone and web ticket support. Fast response, monitoring and health check. Submit a request and activate the contract (MSA).

Czy ten artykuł był pomocny?

Co możemy zrobić lepiej?

Dziękujemy za opinię! Dzięki niej możemy stawać się lepsi.