Zmusić klientów PostgreSQL do korzystania z SSL?

29

Mam skonfigurowane ssl = onw postgresql.conf(i zainstalował etcetera certyfikat). Czy to zapewnia, że wszyscy klienci zawsze będą łączyć się za pośrednictwem protokołu SSL?

(Czy ssl = onto uniemożliwia nawiązanie połączenia bez szyfrowania SSL?)

Czy istnieją inne sposoby zapewnienia, że wszyscy klienci zawsze łączą się za pośrednictwem protokołu SSL / TLS?

Z pozdrowieniami, KajMagnus

postgresql KajMagnus
źródło

27

ssl = on umożliwia jedynie korzystanie z SSL.

Aby upewnić się, że wszyscy klienci używają protokołu SSL, dodaj hostsslwiersze pg_hba.conf, np.

hostssl  all  all  0.0.0.0/0  md5

i usuń wszystkie hostlinie. (Cóż, może zatrzymaj te localhost.)

Peter Eisentraut
źródło

Mam skonfigurowane wszystkie ustawienia w postgresql.confi pg_hba.conf. Jednak nadal mogę się połączyć sslmode=disable. np. psql "sslmode = wyłącz hosta = localhost dbname = test" Czy coś tu przegapiłem?

Andy Aldo

@AndyAldo Aby to przeanalizować, trzeba będzie zobaczyć całą konfigurację. To jest poza zakresem tutaj.

Peter Eisentraut

13

Nie, to po prostu umożliwia korzystanie z SSL. Musisz także wprowadzić odpowiednie zmiany w pliku pg_hga.conf .

gsiems
źródło

2

Och, musiałem źle odczytać dokumenty: myślałem, że hostsslwymagam od klienta dostarczenia własnego certyfikatu SSL, ale teraz zauważyłem, że istnieje certmetoda uwierzytelniania, którą mogę określić w pg_hga.conf.

KajMagnus,

(Dziękuję, głosuję za odpowiedzą później, gdy będę wymagał 15 powtórzeń).

KajMagnus,

Zmusić klientów PostgreSQL do korzystania z SSL?

Odpowiedzi: