PostgreSQL数据库安全加固(十)——终止数据库空连接

已于 2023-02-23 17:54:58 修改
阅读量537 收藏 1
点赞数 1
分类专栏: 数据库 PostgreSQL 文章标签: 数据库 postgresql
于 2023-02-20 15:08:48 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ma286388309/article/details/129124347
版权

文章目录

前言

数据库会话可以在“重放”攻击中重用,会话ID可解决中间人攻击,包括会话劫持或将错误信息插入会话。如果攻击者无法识别或猜测与待处理的应用程序流量相关的会话信息,则他们将更难以劫持会话或以其他方式操纵有效会话。

一、检查配置

以数据库管理员身份(此处显示为“postgres”),运行以下SQL:

# 切换用户
su - postgres
# 查看tcp_keepalives_idle配置
psql -c "SHOW tcp_keepalives_idle"
# 查看tcp_keepalives_interval配置
psql -c "SHOW tcp_keepalives_interval"
# 查看tcp_keepalives_count配置
psql -c "SHOW tcp_keepalives_count"

这些参数默认值为0,如果未设置这些参数,则存在安全风险。

二、加固建议

以数据库管理员(此处显示为“postgres”)身份,编辑postgresql.conf:

# 切换postgres用户
su - postgres 
# 编辑postgresql.conf配置文件,$PGDATA为环境变量
vi $PGDATA/postgresql.conf

将postgresql.conf 文件中以下参数设置为:

tcp_keepalives_idle = 60 # seconds 
tcp_keepalives_interval = 10 # seconds 
tcp_keepalives_count = 10

现在,以系统管理员身份,使用新配置重新启动服务器:
$ pg_ctl reload

总结

当用户注销或发生任何其他会话终止事件时,PostgreSQL必须终止用户会话以最大限度地减少会话被劫持的可能性。

小马穿云
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
PostgreSQL数据库安全加固(五)——修改数据库结构的角色限于授权用户
ma286388309的博客
02-16 217
用于修改数据库结构(包括但不一定限于表,索引,存储等)和逻辑模块(函数,触发器过程,PostgreSQL外部软件链接等)的角色/组必须限于授权用户。如果PostgreSQL允许任何用户对数据库结构或逻辑进行更改,那么这些更改可能会在没有经过适当的测试和批准的情况下实现,而这些更改是强大的更改管理过程的一部分。因此,只允许合格和授权的个人访问信息系统组件,以便启动更改,包括升级和修改。另外:您可能还需要对表权限进行管理1、查看表权限2、撤销对应的权限。
PostgreSQL数据库安全加固(四)——数据库对象拥有者核查
ma286388309的博客
02-16 312
数据库对象(包括但不限于表,索引,存储,触发器过程,函数,外部表等)必须由授权拥有的数据库/ DBMS主体拥有。2、修改schema的所有者请执行以下命令。
PostgreSQL数据库安全加固(六)——数据库文件的访问权必须限于授权用户
ma286388309的博客
02-16 311
数据库文件的访问必须限于相关进程和授权的管理用户。包括PostgreSQL在内的应用程序必须通过共享系统资源防止未经授权和无意的信息传输。仅允许DBMS进程和授权的管理用户访问数据库所在的文件,有助于确保这些文件不会被不适当地共享,并且不会对后门访问和操作开放。
PostgreSQL数据库安全加固(九)——向非特权用户提供尽可能少的信息
ma286388309的博客
02-20 323
数据库可能会通过不正确处理的错误消息无意中向攻击者提供大量信息。除了敏感的业务或个人信息之外,数据库错误还可以提供主机名,IP地址,用户名以及其他系统信息,这些信息不是故障排除所必需的,但对攻击系统的人非常有用。PostgreSQL必须向非特权用户提供尽可能少的信息,限制PostgreSQL数据库的日志级别,则不会泄露可被攻击者利用的信息。
Postgresql关闭idle连接
templarzq的专栏
12-05 1468
postgresql idel close
PostgreSQL数据库安全加固(一)——设置密码复杂度
ma286388309的博客
02-15 4776
PostgreSQL数据库密码复杂度设置可以通过安装passwordcheck扩展插件来实现,该插件默认的密码复杂度规则是密码长度必须大于等于8、必须包含字母和非字母、密码不能包含用户名。如果这些规则仍然不能满足你的密码强度要求,那么还可以安装cracklib以及字典来提高密码强度。设置密码复杂度时注意路径和权限,根据报错排查问题。
PostgreSQL数据库安全加固一)——定义角色并发会话数
ma286388309的博客
02-23 673
数据库管理包括使用PostgreSQL控制用户数和用户会话数的能力。与PostgreSQL无限制的并发连接可以通过耗尽连接资源来成功进行拒绝服务(DoS)攻击,并且系统也可能因合法用户的过载而失败。因此,限制每个用户的并发会话数有助于降低这些风险。必须在PostgreSQL中配置或添加限制每个用户的并发会话数的功能(例如,通过使用登录触发器)。请注意,仅通过Web服务器或应用程序服务器限制会话是不够的,因为合法用户和攻击者可能通过其他方式连接PostgreSQL
连接postgresql数据库需要的jar包
01-15
在Java编程中,连接PostgreSQL数据库通常需要特定的驱动程序,这个驱动程序通常是以JAR(Java Archive)文件的形式存在。"连接postgresql数据库需要的jar包"指的是用于建立Java应用程序与PostgreSQL数据库之间通信...
Java使用JDBC连接postgresql数据库示例
08-26
Java 使用 JDBC 连接 PostgreSQL 数据库示例 Java 是一种广泛使用的编程语言,而 PostgreSQL 是一个功能强大且广泛使用的关系数据库管理系统。Java 使用 JDBC(Java Database Connectivity)连接 PostgreSQL 数据库...
Python实现连接postgresql数据库的方法分析
09-09
在本文中,我们将深入探讨两种常用的Python库——`psycopg2`和`python3-postgresql`,用于建立与PostgreSQL数据库连接。 首先,让我们详细了解一下`psycopg2`库。它是Python与PostgreSQL之间的一个接口,提供了...
PostgreSQL 最佳安全配置.pdf
04-07
2020年PostgreSQL数据库最佳安全配置指导文档,通过配置安全选项,实现数据库的存储、传输和使用安全。
C#连接操作浏览PostgreSQL数据库示例源码.rar
12-30
在本文中,我们将深入探讨如何使用C#语言连接并操作PostgreSQL数据库,这对于初学者来说是一份非常有价值的实践教程。这份资源"Visual Studio 2019编译WinForm示例全部源码"包含了实现这一目标的所有代码,帮助...
PostgreSQL数据库的整体安全性
03-01
在本文中,了解可以用来保护您的PostgreSQL数据库的安全措施。报纸上经常出现黑客袭击企业数据库的报道。大多数攻击由叛逆的未成年人发起的日子已经一去不复返。如今,数据收集成为了一项重要的事业,并且由在企业...
PostgreSQL security usage guide
postgrechina的博客
10-14 714
本文是PostgreSQL使用安全指导性的文章,涉及详细的用法或原理请参考相关链接。 如何安全的使用PostgreSQL,让用户高枕无忧呢? 可以分为如下几个方面来加固你的数据库 一、认证安全 认证前的安全,端口暴露度的把握。 http://blog.163.com/digoal@126/blog/static/163877040201582993130518/ 认
PostgreSQL数据库安全加固(三)——设置密码更换周期
ma286388309的博客
02-16 2287
尽管PostgreSQL数据库不直接提供该密码更换周期功能,但是我们可以通过设置角色的有效期来强制指定,密码到期后, 将无法认证通过。`该项设置要求定期修改角色的有效期,如果你觉得这个过程繁琐或容易遗忘,那么也可以通过在数据库服务器上编写一个定期执行的shell脚本,将时间作为一个参数传入,定期执行alter role valid until '2023-01-01’命令即可。
PostgreSQL数据库安全加固(二)——设置密码验证失败延迟时间
ma286388309的博客
02-16 1313
PostgreSQL数据库设置密码验证失败延迟时间可以通过安装auth_delay扩展插件来实现,该设置主要是防止暴力破解,在验证失败后, 会延迟一段时间后,才能继续验证。除了需要在postgresql.conf配置文件中装载auth_delay模块,还需要增加auth_delay.milliseconds配置参数,否则该扩展模块的功能无法体现。
《Postgres DBA: 23.删除空闲连接
weixin_39939108的博客
03-23 816
SELECT pg_terminate_backend(pid) FROM pg_stat_activity WHERE datname = 'Database_Name' AND pid <> pg_backend_pid() AND state in ('idle', 'idle in transaction', 'idle in transaction (aborted)',...
PG数据库释放闲置连接
学而时习之,不亦说乎?温故而知新,可以为师矣!
12-06 738
【代码】PG数据库释放闲置连接
JDBC详细使用
最新发布
m0_73627305的博客
08-09 535
​ JDBC是一种标准,一种规则,主要作用是使用java语言操作数据库的​ JDBC这个标准中有很多的接口,接口中有很多方法。
Npgsql用户手册:连接与查询PostgreSQL数据库
"Npgsql是针对PostgreSQL数据库服务器的.NET数据提供程序,允许.NET客户端应用程序(如控制台、WinForms、ASP.NET和Web服务)与PostgreSQL服务器交换数据。该资源是一份用户手册,包含了如何获取、编译Npgsql以及...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

小马穿云

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值