PostgreSQL数据库之密文密码检查(passwordcheck)

已于 2024-06-27 11:24:59 修改
阅读量377 收藏 9
点赞数 5
文章标签: 数据库 postgresql 密码学 hash
于 2024-06-19 14:53:38 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_38700215/article/details/139800476
版权

        PostgreSQL数据库用户密码管理涉及到MD5、SCRAM-SHA-256算法,根据配置文件postgresql.conf中的设置,新建用户的密码或者新修改的用户密码被使用上述算法加密后存储到表pg_authid中。准确的说,表pg_authid中存储的是密码的hash值,数据库服务器不保存任何明文或对称非对称加密后的用户密码密文,防止密码被窃取。

        passwordcheck插件是一个检查密码发杂度的postgresql数据库插件,用于检测新创建或新修改的用户密码复杂度。如果密码是以明文字符串的形式传送到数据库服务端的,那么密码复杂度很容易检查,无非就是对字符串的检查。但是,postgresql数据库允许以密文形式修改用户密码,也就是用户可以先把新密码加密(加密算法可选上面提到的算法),然后把加密后的密文传送到服务端,服务端接收到的是加密了的密码,又怎么进行密码复杂度检查呢?

        假设用户名为user1,再假设要把用户user1的密码修改为passwd1,那么

        1、如何修改用户密码?

        使用psql登录数据库服务器,执行修改命令:

postgres=# alter user user1 with password 'passwd1';
ERROR:  The password is too short
postgres=#

        2、如何以密文形式修改用户密码?       

        shell下使用md5sum工具加密字符串"passwd1user1" :

[postgres@localhost passwordcheck]$ echo -n passwd1user1 | md5sum
a9473571e79d0a48baa578d4f2564f8e  -
[postgres@localhost passwordcheck]$

        即把密码和用户名两个字符串连接起来,中间不加任何字符作为新字符串,计算其MD5值。然后在psql中执行修改密码命令:

postgres=# alter user user1 with password 'md5a9473571e79d0a48baa578d4f2564f8e';
ALTER ROLE
postgres=#

        注意上面修改密码的命令中,密码字符串是字符串"md5"+md5值的组合,此处缺少前头的三个字符md5将会修改失败。

        查看数据库系统存储的密码是不是我们上面给出的那一串“md5a9473571e79d0a48baa578d4f2564f8e”

postgres=# select rolname,rolpassword  from pg_authid where rolname='user1';
 rolname |             rolpassword
---------+-------------------------------------
 user1   | md5a9473571e79d0a48baa578d4f2564f8e
(1 row)

        3、如何检测密文形式的密码?

        因数据库服务器接收到的是加密后的密文,且是不可逆的hash算法加密的,所以服务器不可能获得密码明文,passwordchek仅仅检测新密码是否与用户名相同:

if (password_type != PASSWORD_TYPE_PLAINTEXT)
	{
		/*
		 * Unfortunately we cannot perform exhaustive checks on encrypted
		 * passwords - we are restricted to guessing. (Alternatively, we could
		 * insist on the password being presented non-encrypted, but that has
		 * its own security disadvantages.)
		 *
		 * We only check for username = password.
		 */
		char	   *logdetail;

		if (plain_crypt_verify(username, shadow_pass, username, &logdetail) == STATUS_OK)
			ereport(ERROR,
					(errcode(ERRCODE_INVALID_PARAMETER_VALUE),
					 errmsg("password must not equal user name")));
	}

        plain_crypt_verify是数据库内核函数,用于用户登录认证时校验用户密码(非md5认证,是password认证,即pg_hba.conf中最后一列的认证方法为password,对应认证方法为md5\sm3\scram-sm3\scram-sha-256时的认证方式会在稍后的其他文章里讲到),其第一个参数是登录用户名,第二个参数是数据库本地存储的用户密码(表pg_authid),第三个参数是明文密码,此处取值为username即为:校验当密码为username时是否与数据库本地存储的密码一样。

        4、验证

        用用户名user1做用户user1的密码,计算其MD5值:

[postgres@localhost passwordcheck]$ echo -n user1user1 | md5sum
7d1b5a4329b6478e976508ab9a49ee3d  -
[postgres@localhost passwordcheck]$

        以密文形式修改密码:

postgres=# alter user user1 with password 'md57d1b5a4329b6478e976508ab9a49ee3d';
ERROR:  password must not equal user name
postgres=#

        passwordcheck阻止我修改密码,因为:ERROR:  password must not equal user name

        以上是修改密码为MD5形式密文时的检测,SCRAM-SHA-256其原理一样,只不过SCRAM-SHA-256引入了随机数,即便是修改的密码与上次完全一致,其存储在数据库系统表pg_authid中的密码密文也不一样,所以其安全性更高。

        参考:PostgreSQL学习之passwordcheck使用pam_cracklib-CSDN博客

weixin_38700215
关注
  • 5
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
PostgreSQL 密码验证功能增强
weixin_45694422的博客
06-18 384
更多精彩内容,请登录:ke.sandata.com.cn 密码验证介绍 passwordcheck 模块是在 CREATE ROLE 或者 CREATE USER 期间检查用户密码是否符合指定的规则模块如果密码比较弱,那么在此期间将会拒绝执行密码并返回一个错误。 该模块位于 srcpkg/contrib 目录下,安装后位于 $libdir 目录下,使用 shared_preload_libraries加载并重新启动服务器后生效。在该模块中,主要有两个规则判断,一个是用户名自身的判断,一个是密码长度少于8位的
postgre安装passwordcheck模块
wutongyuWxc的博客
07-17 254
1、以安装源码安装postgresql-10.23.tar.gz为例,将起解压到./postgresql-10.23目录,指定安装目录:/usr/local/postgreSQL;具体安装步骤略.....3、进入contrib/passwordcheck/ 目录,执行 make 和 make install 编译生成 passwordcheck.so;2、将./postgresql-10.23目录下的contrib 和 src目录拷贝到/usr/local/postgreSQL/data目录下;
PostgreSQL 为适配等保测评要求的安全性配置方法汇总(Linux&Windows)
long15415590的专栏
03-21 2129
针对以上几条要求,从网上查找资料以及自己的尝试,基本解决了问题。(1)登陆navicat,创建查询,建立一个其他超级用户postgres1(2)用postgres1登陆navicat,创建查询,修改postgres名称用以下语句生成自动延期90天的修改语句(3)删除postgres1。
我把PostgreSQL最核心的插件撸干净了!!!
IT邦德
05-24 1107
PostgreSQL运维的使用总结,只谈使用经验,不聊原理
Postgres配置密码复杂度
最新发布
weixin_48085856的博客
07-25 754
PostgreSQL自带了一个passwordcheck扩展插件(需下载PostgreSQL数据库的源码安装包)可以满足简单的密码复杂度测验, 防止使用过短, 或者与包含用户名的密码,只需要把"$libdir/passwordcheck"加入到postgresql.conf的shared_preload_libraries参数中,然后重启服务器即可。以下测试使用的是PostgreSQL 13.7,原数据库安装位置/var/lib/pgsql/13/
PostgreSQL学习之passwordcheck使用pam_cracklib
weixin_38700215的博客
06-27 419
passwordcheck通过钩子check_password_hook在创建用户或修改密码时对密码复杂度进行检查passwordcheck不仅检查密码的长度、字符组成、是否包含用户名等,还可以使用第三方库pam_cracklib对密码进行弱口令检查
Coder-Strike 2014 - Qualification Round——A. Password Check
清溪浅水
04-15 713
You have probably registered on Internet sites many times. And each time you should enter your invented password. Usually the registration form automatically checks the password's crypt resistance. If
windows下,postgreSQL添加passwordcheck模块
weixin_42482759的博客
12-07 2373
一、密码验证介绍 passwordcheck 模块是在 CREATE ROLE 或者 CREATE USER 期间检查用户密码是否符合指定的规则模块如果密码比较弱,那么在此期间将会拒绝执行密码并返回一个错误。 该模块位于 srcpkg/contrib 目录下,安装后位于 $libdir 目录下,使用 shared_preload_libraries加载并重新启动服务器后生效。在该模块中,主要有两个规则判断,一个是用户名自身的判断,一个是密码长度少于8位的判断,一个是对是否包含用户名本身的判断。 二、在win
PostgreSQL password security
postgrechina的博客
10-14 4585
数据库密码管理是数据库安全的重要环节之一. 例如简单密码策略应该包含 :  1. 密码复杂度 2. 密码验证失败延迟 3. 密码更换周期, 以及重复使用策略 4. 密码验证失败几次后锁定, 以及解锁时间等 5. 设置密码时防止密码被记录到数据库日志,history,~/.psql_history或审计日志中. (也可以使用pwd+user的md5值设置密码, 或
PostGreSql数据库修改密码或者端口
05-17
PG数据库的端口和密码修改
Password Check-crx插件
03-24
密码检查 单击“检查您的密码”按钮,以检查您在网页上键入的密码是否曾被以前的数据泄露所泄露。 通过对照https://haveibeenpwned.com提供的API进行检查,您的实际密码从不存储或通过Internet发送到API。 这是使用K-匿名模型实现的。 没有人会知道您实际在密码字段中输入的内容。 在https://haveibeenpwned.com/FAQs上查看更多详细信息。 感谢https://haveibeenpwned.com为我们提供了访问已拥有密码数据库的API。 如果您仍然感到不安全,请不要使用此扩展名。 支持语言:English
连接postgresql数据库需要的jar包
01-15
在Java编程中,连接到PostgreSQL数据库通常需要特定的驱动程序,这个驱动程序通常是以JAR(Java Archive)文件的形式存在。"连接postgresql数据库需要的jar包"指的是用于建立Java应用程序与PostgreSQL数据库之间通信...
postgresql数据库定时备份脚本(linux)
07-14
在Linux环境中,对PostgreSQL数据库进行定时备份是确保数据安全的重要步骤。PostgreSQL是一个功能强大的开源关系型数据库系统,广泛应用于各种规模的企业和项目。定时备份可以帮助我们在系统故障、误操作或其他不可...
Python编写PostgreSQL数据库结构比对程序源代码
08-03
在IT行业中,数据库管理是至关重要的任务之一,特别是在软件开发和数据分析领域。PostgreSQL是一种流行的开源关系型数据库管理系统,以其强大的功能和稳定性受到广大开发者喜爱。Python作为一种易学且功能丰富的编程...
Java使用JDBC连接postgresql数据库示例
08-26
Java 使用 JDBC 连接 PostgreSQL 数据库示例 Java 是一种广泛使用的编程语言,而 PostgreSQL 是一个功能强大且广泛使用的关系数据库管理系统。Java 使用 JDBC(Java Database Connectivity)连接 PostgreSQL 数据库...
数据库PostgreSQL增加密码复杂度校验
菜鸟sdut的博客
05-28 4862
前言 最近修改问题单,被分配了一个增加密码复杂度校验的单子,PG库也不是很懂,查了资料,PG有自带的密码复杂度校验插件,只需要使用这个插件就可以了,然后根据这几天的折腾,总结一下。 怎么添加密码复杂度校验插件 PostgreSQL可以使用passwordcheck扩展+CrackLib来检查口令,并且 PostgreSQL自带了一个插件passwordcheck可以满足简单的密码复杂度测验, 防止使用过短, 或者与包含用户名的密码。 PG的密码复杂度校验插件所在目录是contrib/passwordchec
PG中的密码复杂度校验passwordcheck
04-11 1273
PG中的密码复杂度校验passwordcheck [pg12@wcbpgcm1 data]$ psql psql (12.9) Type "help" for help. postgres=# show shared_preload_libraries; shared_preload_libraries -------------------------- (1 row) postgres=# alter system set shared_preload_libraries = 'passwo
PASSWORD CHECK
徐虎的专栏
09-09 2009
    Sub Login(ByVal obj As Object, ByVal e As eventargs)        Dim intId As Integer = 0        Dim Conn As New OleDbConnection("Provider=" & _              "Microsoft.Jet.OLEDB.4.0;" & _           
PostgreSQL数据库:修改密码与端口教程
"本文主要介绍了如何在PostgreSQL数据库中修改密码和端口。内容包括了因为忘记密码或安全需求而需要修改密码的场景,以及详细的操作步骤,包括通过ssh远程连接到服务器,切换到postgres用户,使用psql命令行工具连接...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值