POSTGRESQL中从MD5到SCRAM-SHA-256

最新推荐文章于 2025-02-27 10:57:51 发布
最新推荐文章于 2025-02-27 10:57:51 发布
阅读量808 收藏 2
点赞数
分类专栏: 数据库 文章标签: postgresql 区块链 数据库
原文链接:https://www.cnblogs.com/jl1771/p/17673054.html
版权
本文介绍了PostgreSQL从v10开始采用scram-sha-256改进密码安全的过程,包括原因、切换问题、步骤以及注意事项,强调了升级客户端和重置密码的重要性。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

从 v10 开始,PostgreSQL 提供了scram-sha-256对密码哈希和身份验证的支持。本文介绍了如何安全地调整您的应用程序。

为什么我们需要scram-sha-256

PostgreSQL 使用哈希加密有两个目的:

  • 实际的数据库密码是用户输入的明文密码的哈希值。这可以防止小偷在其他系统上使用偷来的密码。
  • 在密码验证过程中,客户端必须使用服务器提供的随机盐对密码进行散列。如果服务器从客户端收到正确的散列响应,则密码检查成功。

现在,MD5 散列方法存在弱点,不适合加密。特别是,使用给定的 MD5 哈希值构造字符串太容易了。这些缺点不适用于 PostgreSQL 使用 MD5 的方式,但使用更好的哈希算法仍然有意义:

  • 昂贵的散列函数使得暴力破解密码变得更加困难
  • 在安全审计期间,如果PostgreSQL不使用有缺陷的散列函数,看起来会更好

因此在 v10 中引入了scram-sha-256支持。如果可以的话,开始使用新的哈希方法。暴力破解密码的难度增加了,因此值得付出努力。

切换到的问题scram-sha-256

有两个问题导致很难从 MD5 切换到scram-sha-256

  • 由于PostgreSQL不知道原来的明文密码,将密码加密方法改为 scram-sha-256 后,用户必须重新设置密码。
  • PostgreSQL客户端必须支持 scram-sha-256 身份验证,因此使用旧的客户端软件进行身份验证将会失败。

当你尝试连接到一个需要scram-sha-256身份验证的服务器时,使用旧版本的libpq会得到的错误信息是:

authentication method 10 not supported

旧的 JDBC 驱动程序会告诉您:

The authentication type 10 is not supported.

旧版本的 Npgsql 将返回:

Authentication method not supported (Received: 10)

切换到scram-sha-256的步骤说明

实际上,转换为scram-sha-256并不难,只要你遵循以下原则:

1.升级客户端软件

升级所有过时的PostgreSQL客户端软件和驱动程序,以支持新的身份验证方法。无论如何,这是一个好主意,因为陷入旧的、未维护的软件永远不是明智的。

2. 更改password_encryption参数

编辑postgresql.conf并将参数更改为

password_encryption = scram-sha-256

确保删除了该行开头的散列值(#)。然后通过运行重新加载服务器

pg_ctl reload -D /postgres/datadir

其中/postgres/datadir是 PostgreSQL 数据目录。或者,您可以运行以下 SQL 语句:

SELECT pg_reload_conf();

查看日志文件以查看重新加载是否成功,并通过 SQL 检查新值:

SHOW password_encryption;

注意,即使修改了参数,旧的MD5密码仍然有效,只要pg_hba.conf中的身份验证方法设置为MD5即可。

3. 重新设置所有密码

所有经过密码验证的用户必须更改密码。在psql中,超级用户可以用

\password user_name

即使用户设置与以前相同的密码,该密码现在也将使用 SHA-256 进行哈希处理。在继续下一步之前,请检查该表pg_authid并确保它不再包含 MD5 哈希密码。

4. 更改认证方式pg_hba.conf

这一步不是严格必须的,因为PostgreSQL将对sram -sha-256哈希密码使用sram -sha-256身份验证,即使在pg_hba .conf中将身份验证方法设置为md5。这是一个兼容性特性。

不过,您应该修改pg_hba.conf,将所有出现的md5替换为scham -sha-256。这将阻止仍然使用旧MD5密码的用户进行身份验证。

之后,像上面一样重新加载配置。然后检查日志文件或检查视图pg_hba_file_rules,以查看重新加载是否成功。

结论

从上面可以看出,将 md5 改为 scram-sha-256并不难。困难的部分是你必须重新设置所有的密码,并且你可能需要升级客户端软件。

Debezium系列之:认证方式使用SCRAM-SHA-256
zhengzaifeidelushang的博客
12-28 1044
Debezium系列之:认证方式使用SCRAM-SHA-256
Debezium报错处理系列之七十八:Client SASL mechanism ‘SCRAM-SHA-256‘ not enabled in the server, enabled mechanis
zhengzaifeidelushang的博客
06-27 980
Debezium报错处理系列之七十八:Client SASL mechanism 'SCRAM-SHA-256' not enabled in the server, enabled mechanisms are [PLAIN]
PG口令加密算法从MD5升级到SCRAM-SHA-256
04-13 1022
PG口令加密算法从MD5升级到SCRAM-SHA-256 1、前提条件 确保PG实例版本是10及以上版本。 postgres=# select version(); version -------------------------------------------------------------------
PostgreSQL学习之SCRAM-SHA-256加密认证
weixin_38700215的博客
07-05 2764
PostgreSQL数据库保存用户密码的方式为加密保存(准确的说是保存用户的密码与随机数的hash值),加密算法为MD5SCRAM-SHA-256两种,保存位置为系统表pg_authid。
postgresql链接详解
m0_74823842的博客
02-27 820
连接基础在探讨PostgreSQL连接的基础之前,我们需要理解什么是数据库连接。数据库连接是客户端应用程序与数据库服务器之间建立的一种通信通道,使用户能够访问和操作数据库中的数据。客户端:发起连接请求的应用程序或工具服务器:接收并处理连接请求的PostgreSQL数据库服务端口号:通常使用默认值5432身份验证:通过用户名和密码确认用户权限连接字符串:包含连接所需的所有必要信息这些基本概念构成了PostgreSQL连接的核心框架,为后续更复杂的连接操作奠定了基础。连接字符串。
PostgreSQL之V10用户密码认证及加密算法scram-sha-256
热门推荐
HighGO
10-12 1万+
PG V10官方手册关于用户密码的描述 PostgreSQL数据库口令独立于操作系统用户口令。每个数据库用户的口令被存储在pg_authid系统目录中。 口令可以用 SQL 命令CREATE USER和ALTER ROLE管理,例如CREATE USER foo WITH PASSWORD 'secret', 或者psql命令\password。如果没有为一个用户设置口令,那么存储的口...
pg_hba.conf 中 md5scram-sha-256 的区别
一名数据库爱好者的专栏
06-29 4807
db: postgresql 11 auth-method 指定当一个连接匹配这个记录时,要使用的认证方法。下面对可能的选择做了概述,详见第 20.3 节。 trust 无条件地允许连接。这种方法允许任何可以与PostgreSQL数据库服务器连接的用户以他们期望的任意PostgreSQL数据库用户身份登入,而不需要口令或者其他任何认证。详见第 20.4 节。 reject 无条件地拒绝连接。这有助于从一个组中“过滤出”特定主机,例如一个reject行可以阻塞一个特定的主机连接,而后面一行允许一个特定网络中的
SHA-1被攻破了吗? PostgreSQL SCRAM-SHA-256 安全认证机制解救你来了
weixin_34119545的博客
03-09 1490
标签 PostgreSQL , 认证方法 , SCRAM-SHA-256 , scram , scram-sha-256-plus , SASL , Simple Authentication and Security Layer 背景 PostgreSQL的很多设计非常的工业化,比如开放了许多扩展接口(类型、操作符、索引、扫描、采样、数据库编程语言...
PostgreSQL身份验证MD5升级SCRAM-SHA-256
swordlb的博客
12-04 529
PostgreSQL身份验证MD5升级SCRAM-SHA-256,及安全加固。
PostgreSQL 14默认密码加密改为scram-sha-256
Focus on PostgreSQL
05-12 4834
PostgreSQL 14中将默认的密码加密由原先的MD5修改成了scram-sha-256,这个从安全性的角度有了一定的提升。 之前我们也说过,MD5的方式如果别人获取了你密码的md5值是会存在安全问题的。因为其存储的方式为md5(‘用户名+密码’)。 PG14之前: bill=# select rolname,rolpassword from pg_authid where rolname = 'bill'; rolname | rolpassword ---------+-
数据库PostrageSQL-口令认证
逍遥云恋
11-16 937
20.5. 口令认证 有几种基于口令的认证方法。这些方法的过程类似,但是区别在于用户口令如何被存放在服务器上以及客户端提供的口令如何被通过连接发送。 scram-sha-256 方法scram-sha-256按照RFC 76771中的描述执行SCRAM-SHA-256认证。它使用的是一种挑战-响应的方案,可以防止在不可信连接上对口令的嗅探并且支持在服务器上以一种加密哈希的方式存放口令,因此被认为是安全的。 这是当前提供的方法中最安全的一种,但是旧的客户端库不支持这种方法。 md5 方法md5使用一种自定义的
人大金仓数据库KingbaseES SCRAM-SHA-256加密介绍
arthemis_14的博客
11-10 1023
KingbaseES、SCRAM-SHA-256、安全功能 、人大金仓SCRAM(Salted Challenge Response Authentication Mechanism)是一种用于身份验证的安全协议,用于在通信过程中验证用户身份而不暴露敏感信息,最初是为了应对密码泄露和中间人攻击而设计的,广泛用于数据库、通讯协议(如XMPP、SMTP)等领域。SHA-256是一种加密哈希函数,他是SHA-2(Secure Hash Algorithm 2)系列中的一部分。
PostgresqlMD5密码验证改为SCRAM-SHA-256
魂醉的一亩二分地
06-28 5357
随着密码学技术的发展,MD5哈希算法构造的密码越来越不安全,所以,PG顺应发展,从10版本开始支持了SCRAM-SHA-256加密算法,因为使用的新的哈希算法。使得在暴力破解的时候花费的代价更加昂贵。那么,接下来,在PG中看一下如何从MD5切换到SCRAM-SHA-256。 首先,太老的的驱动不支持SCRAM-SHA-256,都会报错,如JDBC,会报The authentication type 10 is not supported。那么就需要升级驱动。 接下来就是数据库服务端修改配置: #修改post
Kafka 压缩、限流和 SASL_PLAIN 、 SASL_SCRAM-SHA-256简单认证
weixin_39750695的博客
10-03 1998
限流方式 方式 优点 缺点 client id 简单便捷 client id,一次只能有一个生产者实例,只能单并发 user 可以多 producer 同时进行,可与client id 进行组合,可以设置用户密码,增加一定的安全性,但用户名密码位置容易暴露 需要对kafka 开启安全认证,部署复杂行增加 基于 client id 限流 使用方法 # 对 test_lz4_10m_client 进行限流 生产消费速率为 10 M/S ./bin/kafka-configs.sh --
SHA-256md5的区别
renqq001的博客
12-24 895
SHA-256md5的区别
Kafka ACL(SASL/SCRAM-SHA-256)动态权限管理【windows】
三年喂的博客
03-15 3079
Window系统下配置Kafka ACL SASL/SCRAM-SHA-256 模式动态权限管理
【openGauss】用plpgsql实现sha256算法(踩坑填坑实录)
DarkAthena的博客
04-27 2372
前言 在开发中,经常会使用类似MD5/ SHA-1/ SHA-2这样的hash算法来对数据进行处理,以防原始信息泄露,比如密码的存储。 SHA-2中的SHA256,安全性比MD5更高,因此很多数据库增加了对SHA256计算的支持。 比如从oracle12c起,数据库内原生提供了DBMS_CRYPTO包和STANDARD_HASH函数,可以用来进行sha256计算。在postgresql中,可以通过安装pgcrypto扩展来支持,安装命令也很简单。 sql create extension pgcrypto;
PostgreSQL计算全表 MD5
weixin_39820531的博客
10-20 700
在很多时候我们需要计算两张表是否完全一致,尤其是类似发布订阅复制表的时候。这时候可以使用如下函数所全表的 hash 计算。
postgresql 17编译安装详解与实战
xudajian的专栏
11-24 1448
-auth-local=authmethod 连接的本地用户指定在pg_hba.conf中使用的认证方法 这个选项为通过 Unix 域套接字连接的本地用户指定在pg_hba.conf中使用的认证方法 (local行)。此外,在具有大量WAL的数据库中,每个目录的WAL文件的绝对数量可以成为一个性能和管理问题。如果--locale-provider是内置的,那么必须指定--locale或--built –locale必须指定并设置为C或C.UTF-8。这也将是后来创建的任何数据库的默认编码,除非你覆盖它。
(using class org.postgresql.Driver) Invalid or unsupported by client SCRAM mechanisms
最新发布
02-28
### 解决使用 `org.postgresql.Driver` 时遇到的 Invalid 或不支持的 SCRAM 认证机制错误 当尝试通过 `org.postgresql.Driver` 进行数据库连接并收到关于无效或不受支持的 SCRAM (Salted Challenge Response Authentication Mechanism) 错误消息时,这通常意味着客户端版本与服务器端配置之间存在兼容性问题。 #### 修改 PostgreSQL 配置文件以禁用 SCRAM 为了使旧版 JDBC 客户端能够成功建立连接,在 PostgresQL 的安装目录下定位到数据文件夹中的 `pg_hba.conf` 文件[^4]。编辑此文件来调整认证方式: ```plaintext # TYPE DATABASE USER ADDRESS METHOD host all all 0.0.0.0/0 md5 ``` 上述更改将身份验证方法设置为 MD5 密码散列算法而非默认启用的新式 SCRAM-SHA-256 方案。保存修改后的配置文件,并重启 PostgreSQL 数据库服务以便应用新的设定。 #### 更新 PostgreSQL JDBC Driver 版本 如果可能的话,考虑升级应用程序使用的 PostgreSQL JDBC driver 至最新稳定发行版。较新版本已经包含了对于 SCRAM 协议的支持以及改进过的安全性特性。确保项目构建工具(Maven, Gradle 等)指向了一个适当范围内的依赖项声明[^2]: 对于 Maven 用户来说,可以在 pom.xml 中加入如下片段: ```xml <dependency> <groupId>org.postgresql</groupId> <artifactId>postgresql</artifactId> <version>42.x.x</version><!-- 使用最新的次要版本 --> </dependency> ``` #### 设置合适的 JVM 参数传递给驱动程序 有时即使更新了驱动器也可能遭遇同样的异常情况;此时可以尝试向启动命令添加额外参数指定期望采用的身份验证模式: ```bash -Dorg.postgresql.ssl=true -Djavax.net.debug=ssl \ -Dorg.postgresql.authentication.scram_sha_256=false ``` 这些选项强制关闭了对 SCRAM SHA-256 加密握手过程的需求,允许继续沿用传统的简单密码交换流程完成登录操作。 #### Java 代码示例展示如何创建带有自定义属性的数据源对象 ```java import java.sql.Connection; import javax.sql.DataSource; import com.zaxxer.hikari.HikariConfig; import com.zaxxer.hikari.HikariDataSource; public class DatabaseConnectionExample { public static void main(String[] args){ HikariConfig config = new HikariConfig(); config.setJdbcUrl("jdbc:postgresql://localhost:5432/mydb"); config.setUsername("myuser"); config.setPassword("mypassword"); // 关闭SCRAM认证机制 config.addDataSourceProperty("authentication", "md5"); DataSource ds = new HikariDataSource(config); try(Connection conn = ds.getConnection()){ System.out.println("Connected to the database!"); } catch(Exception e){ e.printStackTrace(); } } } ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值