PostgreSQL password security

最新推荐文章于 2024-08-11 00:30:00 发布
最新推荐文章于 2024-08-11 00:30:00 发布
阅读量4.6k 收藏
点赞数
分类专栏: Greenplum相关 数据库开发

一般来说数据库密码安全管理要考虑以下几个方面 : 

1. 密码过期策略, 决定密码的有效期, 多长时间过期. 

PostgreSQL不支持密码过期策略, 但是可以通过其他方式来实现过期提醒.


2. 密码复用策略, 密码修改时需要对比以前的密码, 多少次以后才可以复用, 或者永不能使用与以前密码相同的密码.

PostgreSQL 不支持密码复用策略, 但是可以通过其他方式来实现强制密码复用策略.


3. 密码长度策略, 密码的最小长度, 太短的话很容易被穷举法破解, 一般至少使用8位以上长度的密码.

PostgreSQL 不支持密码长度策略, 但是可以通过其他方式来实现强制密码长度策略.


4. 密码复杂度策略, 密码包含的字符复杂度, 一般要求包含数字字母大小写以及特殊字符. 另外不要使用与数据库名, 用户名相似或一致的密码.

PostgreSQL 不支持密码复杂度策略, 但是可以通过其他方式来实现强制密码复杂度策略.


5. 密码字典过滤, 过滤掉一些用户常用的或者有意义的字符, 也是为了避免密码很容易被穷举破解. 

PostgreSQL 不支持密码字典过滤策略, 但是可以通过其他方式来实现强制字典过滤策略.


6. 密码存储策略, 使用加密存储, 不要使用明文存储. 
加密存储在创建用户时使用encrypted password即可. 
如果设置了password_encryption=off, 同时创建用户时不加encrypted, 那么密码将以明文存储.
例如 : 
加密存储 : 
digoal=# create role u1 login encrypted password 'digoal';
CREATE ROLE
digoal=# select * from pg_shadow where usename='u1';
 usename | usesysid | usecreatedb | usesuper | usecatupd | userepl |               passwd                | valuntil | useconfig 
---------+----------+-------------+----------+-----------+---------+-------------------------------------+----------+-----------
 u1      |    26383 | f           | f        | f         | f       | md5bdf22a6622939c7c7ab2377eaca514d5 |          | 
(1 row)
明文存储 : 
digoal=# set password_encryption=off;
SET
digoal=# create role u2 login password 'digoal';
CREATE ROLE
digoal=# select * from pg_shadow where usename='u2';
 usename | usesysid | usecreatedb | usesuper | usecatupd | userepl | passwd | valuntil | useconfig 
---------+----------+-------------+----------+-----------+---------+--------+----------+-----------
 u2      |    26387 | f           | f        | f         | f       | digoal |          | 

(1 row)


7. 密码锁策略, 密码输入错误多少次后锁用户, 多长时间解锁.

PostgreSQL 不支持密码锁策略.


8. 密码保护策略, 密码输入错误多少次后延迟认证. 可用来防止暴力破解.
PostgreSQL 不支持密码保护策略.


目前PostgreSQL在密码管理这块做得较弱, 
以下举例通过函数来实现其中的部分安全策略 : 
创建一个字典表, 用于存放已经使用过的密码的md5值, 以及用来进行暴力破解的密码字典的md5值.
digoal=# create table pwd_dictionary(pwd text unique);
CREATE TABLE
创建一个记录用户最后一次修改密码时间的表. 用于实施密码过期提醒策略.
digoal=# create table user_pwd(rolename name not null unique, pwd_modify_time timestamp not null);
CREATE TABLE
创建用户的函数 : 
digoal=# create or replace function create_role(i_rolename name, i_pwd text) returns void as $$
declare
  v_length int := 8;
begin
  -- 密码长度策略
  if length(i_pwd) < v_length then
    raise notice 'password too short, please use password long than %.', v_length;
    return;
  end if;
  -- 密码复杂度策略, 包含数字, 字母大小写.
  if not(i_pwd ~ '[a-z]' and i_pwd ~ '[A-Z]' and i_pwd ~ '[0-9]') then
    raise notice 'password too simple, please ensure password contain a-z,A-Z and 0-9.';
    return;
  end if;
  -- 密码复用策略, 不允许重复使用已经存在的密码.
  -- 密码字典策略, 不允许使用密码字典中的密码.
  insert into pwd_dictionary(pwd) values (md5(i_pwd));
  -- 插入用户表, 记录用户最后一次修改密码的时间, 用于密码过期策略
  insert into user_pwd(rolename, pwd_modify_time) values (i_rolename, now());
  -- 创建用户
  execute 'create role '||i_rolename||' encrypted password '||quote_literal(i_pwd);
  raise notice 'create role % successed.', i_rolename;
  return;
end;
$$ language plpgsql strict;
CREATE FUNCTION
创建用户密码过短, 不允许创建.
digoal=# select * from create_role('u4','pwd');
NOTICE:  password too short, please use password long than 8.
 create_role 
-------------
 
(1 row)
创建用户密码过于简单, 不允许创建.
digoal=# select * from create_role('u4','abcdefee');
NOTICE:  password too simple, please ensure password contain a-z,A-Z and 0-9.
 create_role 
-------------
 
(1 row)
创建用户正常.
digoal=# select * from create_role('u4','aA0ffffffff');
NOTICE:  create role u4 successed.
 create_role 
-------------
 
(1 row)
创建用户密码与现有密码重复, 不允许创建.
digoal=# select * from create_role('new','aA0ffffffff');
ERROR:  duplicate key value violates unique constraint "pwd_dictionary_pwd_key"
DETAIL:  Key (pwd)=(2b9aa88182d13d35930180b4cc791beb) already exists.
CONTEXT:  SQL statement "insert into pwd_dictionary(pwd) values (md5(i_pwd))"
PL/pgSQL function create_role(name,text) line 17 at SQL statement


修改用户密码的函数 : 
digoal=# create or replace function alter_role_pwd(i_rolename name, i_pwd text) returns void as $$
declare
  v_length int := 8;
begin
  -- 密码长度策略
  if length(i_pwd) < v_length then
    raise notice 'password too short, please use password long than %.', v_length;
    return;
  end if;
  -- 密码复杂度策略, 包含数字, 字母大小写.
  if not(i_pwd ~ '[a-z]' and i_pwd ~ '[A-Z]' and i_pwd ~ '[0-9]') then
    raise notice 'password too simple, please ensure password contain a-z,A-Z and 0-9.';
    return;
  end if;
  -- 密码复用策略, 不允许重复使用已经存在的密码.
  -- 密码字典策略, 不允许使用密码字典中的密码.
  insert into pwd_dictionary(pwd) values (md5(i_pwd));
  -- 更新用户表, 记录用户最后一次修改密码的时间, 用于密码过期策略
  update user_pwd set pwd_modify_time=now() where rolename=i_rolename;
  -- 修改用户密码
  execute 'alter role '||i_rolename||' encrypted password '||quote_literal(i_pwd);
  raise notice 'modify role % password successed.', i_rolename;
  return;
end;
$$ language plpgsql strict;
CREATE FUNCTION
使用该函数修改用户密码
digoal=# select * from alter_role_pwd('u4','new');
NOTICE:  password too short, please use password long than 8.
 alter_role_pwd 
----------------
 
(1 row)
digoal=# select * from alter_role_pwd('u4','new22222222');
NOTICE:  password too simple, please ensure password contain a-z,A-Z and 0-9.
 alter_role_pwd 
----------------
 
(1 row)
digoal=# select * from alter_role_pwd('u4','new2222222z2');
NOTICE:  password too simple, please ensure password contain a-z,A-Z and 0-9.
 alter_role_pwd 
----------------
 
(1 row)
digoal=# select * from alter_role_pwd('u4','new2222222z2A');
NOTICE:  modify role u4 password successed.
 alter_role_pwd 
----------------
 
(1 row)
digoal=# select * from alter_role_pwd('u4','new2222222z2A');
ERROR:  duplicate key value violates unique constraint "pwd_dictionary_pwd_key"
DETAIL:  Key (pwd)=(9a5c46207db775d4d98e64d427481cbc) already exists.
CONTEXT:  SQL statement "insert into pwd_dictionary(pwd) values (md5(i_pwd))"
PL/pgSQL function alter_role_pwd(name,text) line 17 at SQL statement


密码过期提醒 : 
因为密码最后一次修改时间已经更新到user_pwd表, 所以结合这个可以在系统crontab中或者nagios监控软件中实施密码过期提醒.
digoal=# select * from user_pwd ;
 rolename |      pwd_modify_time       
----------+----------------------------
 u4      | 2013-05-25 18:21:59.376404
(1 row)


[小结]
1. 为了密码安全性, 在PostgreSQL 中, 创建用户请使用create_role函数, 不要直接使用create role 命令.
2. 修改用户密码请使用alter_role_pwd函数. 不要直接使用alter role 命令.
3. 密码过期提醒请结合nagios软件或者操作系统crontab来实现邮件提醒数据库管理员.
波特王子
关注
专栏目录
PostgreSQL修改密码认证方式
TinaYu的博客
12-21 1542
[postgres@postgres_vm ~]$ psql psql (12.4) Type "help" for help. postgres=# show password_encryption ; password_encryption --------------------- md5 (1 row) postgres=# select * from pg_authid where rolname='hr'; oid | rolname | rolsuper | rolinherit
postgres password
szpapas
01-30 192
[url]http://www.postgresql.org/docs/current/static/libpq-pgpass.html[/url] the file .pgpass in a user's home directory or the file referenced by PGPASSFILE can contain passwords to be used if the c...
PostgreSQL数据库密码忘记的解决方法
最新发布
FLK_9090的博客
08-11 676
在使用PostgreSQL数据库时,忘记数据库密码可能会影响到正常的开发和维护工作。本文将详细介绍在这种情况下如何恢复对数据库的访问权限,包括具体的步骤和示例代码。
美女DBA带你了解PostgreSQL用户及角色
Enmotech的博客
07-22 724
墨墨导读:本文为大家讲述了PostgreSQL数据库的用户及角色,希望对刚接触PostgreSQL数据库的朋友们有帮助。7.24 晚 20:30-21:30相约云和恩墨大...
postgresql加密方式
归来仍少年
10-16 9852
postgresql加密方式 1.md5 存储方式:md5(‘用户名+密码’) 2.scram-sha-256 ##查看加密方式 select name,setting from pg_settings where name =‘password_encryption’; ##查询相关参数 password_encryption= scram-sha-256 ##查看插件 \dx 或者 select * from pg_available_extensions; ##密码相关的表信息 select usen
postgresql 弱口令检测
xmas
05-10 1931
import socket import binascii import hashlib def make_response(buf,username,password,salt): pu=hashlib.md5(password+username).hexdigest() buf=hashlib.md5(pu+salt).hexdigest() return 'md5'
基于.net framework 4.5 的postgresql 的连接api(Npgsql.dll,Mono.Security.dll)
05-24
本篇将详细介绍如何使用Npgsql.dll和Mono.Security.dll这两个组件来建立和管理与PostgreSQL数据库的连接。 首先,让我们来了解Npgsql.dll。Npgsql是.NET社区维护的一个开源项目,它提供了全面的ADO.NET支持,包括...
.net 4.5链接PostgreSQL
02-11
Password=myPassword;` 4. **创建连接**:使用 `NpgsqlConnection` 类创建数据库连接。例如: ```csharp using (var conn = new NpgsqlConnection("your_connection_string")) { conn.Open(); // 执行数据库...
C#访问PostGreSQL数据库的方法
09-08
通常,你需要引用两个DLL文件:`Npgsql.dll`和`Mono.Security.dll`。在你的代码中,引入`Npgsql`命名空间: ```csharp using Npgsql; ``` 接着,你需要创建一个数据库连接字符串,该字符串包含了连接到PostgreSQL...
C#连接PostgreSql需要的Npgsql.dll和Mono.Security.dll版本Npgsql-2.2.3-net35.zip
11-10
string connectionString = "Server=127.0.0.1;Port=5432;Database=myDataBase;User Id=myUsername; Password=myPassword;...C#连接PostgreSql需要的Npgsql.dll和Mono.Security.dll,Npgsql-2.2.3-net35.zip
PostgreSQL教程】PostgreSQL 语法
No8g攻城狮的博客
07-20 204
Tips:如果感觉本文难懂或者说是只看语法没有实操感觉无趣,那么可以暂时先放过本节,学习后面的章节后再来看语法就会觉得好简单。默认情况下 PostgreSQL 安装完成后,自带了一个命令行工具。LinuxWindows系统一般在它的安装目录下:Mac OS我们直接搜索(SQL Shell(psql))也可以找到。
postgresql Password认证失败
dy1996的博客
05-20 374
2.修改该用户密码密码不对也报这个错误。1.修改pg_hba.conf文件。
瀚高数据库相关设置
慕容雪_的博客
06-03 806
1)在postgresql.conf中找到下述配置,把listen_addresses前面的注释去掉,值修改为*1)最小化改造,新建一个用户,密码指定md5加密,新建一个数据库,把owner指定为新建的用户,例如。2)修改瀚高数据库默认加密方式为md5(数据库刚安装、独享数据库、其他方无意见)。安全版瀚高数据库,密码的默认加密方式时sm3,导致无法使用第三方工具连接。2)在pg_hba.conf最后位置找到下述配置,修改IPv4的相关配置。经过上述配置后,就可以使用navicat,使用test用户登录了。
PostgreSQL数据库安全加固(一)——设置密码复杂度
ma286388309的博客
02-15 4904
PostgreSQL数据库密码复杂度设置可以通过安装passwordcheck扩展插件来实现,该插件默认的密码复杂度规则是密码长度必须大于等于8、必须包含字母和非字母、密码不能包含用户名。如果这些规则仍然不能满足你的密码强度要求,那么还可以安装cracklib以及字典来提高密码强度。设置密码复杂度时注意路径和权限,根据报错排查问题。
PostgreSQL从弱口令到RCE(CVE-2019-9193)
网络安全。
01-29 3086
0x01 简介 PostgreSQL 是一款关系型数据库。其9.3到11版本中存在一处“特性”,管理员或具有“COPY TO/FROM PROGRAM”权限的用户,可以使用这个特性执行任意命令。 0x02 影响版本 postgresql 9.3-11 0x03 漏洞复现 1、使用“超级弱口令”爆破处postgresql数据库账号密码。 2、使用“Navicat Premium”连接postgres...
HighGo瀚高数据库用户密码安全策略
sunny05296的博客
10-15 3105
HighGo瀚高数据库用户密码安全策略 HigoGo默认创建的用户是有有效期的,默认只有5次失败重试和7天有效期 管理员登录 $ psql -U highgo -d highgo highgo=# 查看安全策略配置 highgo=# select show_secure_param(); show_secure_param --------------------------------------- hg_idcheck.pwdlock = 5 time...
如何查看当前数据库的安全策略
HighGO
11-08 2819
目录 文档用途 详细信息 相关文档 本文旨在介绍查看当前数据库的安全策略的方法。 详细信息 使用psql命令或客户端工具,通过管理员用户(企业版V6:默认highgo。安全版:syssso)连接数据库执行select show_secure_param();即可查看当前数据库的安全策略。 企业版数据库V6: psql -d highgo -U highgo highgo=# select show_secure_param(); show_secure_param
PostgreSQL修改密码锁定次数
qq_58883939的博客
04-27 620
修改参数passwordlock为off可以关闭密码输错多少次后锁定的功能;
瀚高数据库 SM3和MD5密码验证配置
丘处机的专栏
04-19 1399
我们都知道,瀚高数据库安全版v4.5和企业版v6都支持国密sm3。一般我们在initdb的时候,会通过选项“-A sm3”来指定,这样的效果是创建用户或修改密码时,默认就会使用sm3取密码的散列值。我们也可以在后期添将密码动态改为md5。 例如,我们当前默认是md5,现在要添加一个用户,使用sm3,我们这样操作: highgo=# show password_encryption; password_encryption --------------------- md5 (1 row)
网络上有没有使用C#的Npgsql.dll以及Mono.Security.dll 连接postgresql库并使用了MD5以及SHA-256连接的案例
05-27
是的,有很多使用C#的Npgsql.dll以及Mono.Security.dll连接PostgreSQL库并使用MD5和SHA-256认证方法的案例。以下是一个使用MD5认证方法的示例代码: ``` using System; using System.Security.Cryptography; using System.Text; using Npgsql; class Program { static void Main(string[] args) { var connString = "Host=myserver;Username=myuser;Password=mypassword;Database=mydatabase"; using (var conn = new NpgsqlConnection(connString)) { conn.Open(); // Get the salt var saltCommand = new NpgsqlCommand("SELECT rolpassword FROM pg_authid WHERE rolname = @user", conn); saltCommand.Parameters.AddWithValue("user", "myuser"); var salt = (string)saltCommand.ExecuteScalar(); // Calculate the MD5 hash with salt var md5Password = CalculateMD5Password("mypassword", salt); // Login with MD5 password var loginCommand = new NpgsqlCommand("SELECT 1", conn); loginCommand.ExecuteNonQuery(); conn.Close(); } } // Function to calculate the MD5 password hash with salt private static string CalculateMD5Password(string password, string salt) { var passwordBytes = Encoding.UTF8.GetBytes(password); var saltBytes = Encoding.UTF8.GetBytes(salt); var md5 = new MD5CryptoServiceProvider(); var hashBytes = md5.ComputeHash(passwordBytes.Concat(saltBytes).ToArray()); return "md5" + BitConverter.ToString(hashBytes).Replace("-", "").ToLower(); } } ``` 上述代码中,我们首先创建一个Npgsql连接,并打开它。然后,我们发送一个查询来获取用户的salt值。我们使用计算MD5哈希值的函数来计算密码的哈希值,并将salt值附加到密码的末尾。最后,我们使用MD5密码登录,并关闭连接。 对于SHA-256认证方法,您可以使用以下示例代码: ``` using Npgsql; class Program { static void Main(string[] args) { var connString = "Host=myserver;Username=myuser;Password=mypassword;Database=mydatabase"; using (var conn = new NpgsqlConnection(connString)) { conn.Open(); // Login with SHA-256 password var loginCommand = new NpgsqlCommand("SELECT 1", conn); loginCommand.ExecuteNonQuery(); conn.Close(); } } } ``` 在上述代码中,我们没有使用任何密码哈希函数,因为SHA-256认证方法不需要使用salt值。我们直接使用密码进行登录,并关闭连接。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值