Postgres配置密码复杂度

最新推荐文章于 2024-07-31 10:46:12 发布
最新推荐文章于 2024-07-31 10:46:12 发布
阅读量916 收藏 18
点赞数 17
文章标签: postgresql linux centos 运维 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_48085856/article/details/140681501
版权

目录

概述:

一、安装cracklib以及字典

二、下载PostgreSQL数据库的源码安装包

二、配置passwordcheck

三、编译passwordcheck

四、复制passwordcheck.so到数据库的$libdir下

五、添加passwordcheck扩展,重启数据库

六、新建账户AAA,测试密码复杂度是否生效

七、报错问题

概述:

PostgreSQL自带了一个passwordcheck扩展插件(需下载PostgreSQL数据库的源码安装包)可以满足简单的密码复杂度测验, 防止使用过短, 或者与包含用户名的密码,只需要把"$libdir/passwordcheck"加入到postgresql.conf的shared_preload_libraries参数中,然后重启服务器即可。

以下测试使用的是PostgreSQL 13.7,原数据库安装位置/var/lib/pgsql/13/

一、安装cracklib以及字典

下载安装cracklib

[root@localhost ~]# yum install -y cracklib-devel cracklib-dicts cracklib

 检查安装

[root@localhost ~]# rpm -ql cracklib-dicts
/usr/lib64/cracklib_dict.hwm
/usr/lib64/cracklib_dict.pwd
/usr/lib64/cracklib_dict.pwi
/usr/sbin/mkdict
/usr/sbin/packer
/usr/share/cracklib/cracklib-small.hwm
/usr/share/cracklib/cracklib-small.pwd
/usr/share/cracklib/cracklib-small.pwi
/usr/share/cracklib/pw_dict.hwm
/usr/share/cracklib/pw_dict.pwd
/usr/share/cracklib/pw_dict.pwi

二、下载PostgreSQL数据库的源码安装包

下载与自己数据库版本一致的PostgreSQL源码,其中包含passwordcheck扩展插件。

下载地址:Index of /pub/source/

本次下载到/opt/src下

#创建新文件夹src
mkdir /opt/src

#进入src文件夹下
cd /opt/src

#下载源码包,在此替换成自己的数据库版本一致的源码包
wget https://ftp.postgresql.org/pub/source/v13.7/postgresql-13.7.tar.bz2

#解压
tar xjvf postgresql-13.7.tar.bz2

#查看文件夹下
[root@localhost src]# ls
postgresql-13.7  postgresql-13.7.tar.bz2

二、配置passwordcheck

#查找cracklib_dict路径
[root@localhost src]# find / -name cracklib_dict*
/usr/lib64/cracklib_dict.hwm
/usr/lib64/cracklib_dict.pwd
/usr/lib64/cracklib_dict.pwi


#进入passwordcheck文件夹下
[root@localhost src]# cd /opt/src/postgresql-13.7/contrib/passwordcheck
[root@localhost passwordcheck]# 

#修改Makefile, 把注释去掉, 并修改字典文件(不要带.pwd后缀).
[root@localhost passwordcheck]#  vi Makefile

#把下面两行注释去掉
#修改字典文件/usr/lib/cracklib_dict为步骤一安装的cracklib
PG_CPPFLAGS = -DUSE_CRACKLIB '-DCRACKLIB_DICTPATH="/usr/lib64/cracklib_dict"'
SHLIB_LINK = -lcrack

三、编译passwordcheck

#进入/opt/src/postgresql-13.7下应该有configure
[root@localhost passwordcheck]# cd /opt/src/postgresql-13.7
[root@localhost postgresql-13.7]# ls
aclocal.m4  config.status  contrib    GNUmakefile     INSTALL   src
config      configure      COPYRIGHT  GNUmakefile.in  Makefile
config.log  configure.in   doc        HISTORY         README
[root@localhost postgresql-13.7]# 

#全部重新编译,大概需要等待5分钟
[root@localhost postgresql-13.7]#./configure --prefix=/opt/pgsql
[root@localhost postgresql-13.7]#gmake world

在此可能出现没有安装readline库和zlib库,若不存在这些库,下载安装库后再次编译即可。

#安装readline库
yum install readline-devel 

#安装zlib库 
yum install zlib-devel

四、复制passwordcheck.so到数据库的$libdir下

#查询$libdir位置。$libdir是一个环境变量,它用于指定PostgreSQL安装目录中存放库文件的路径。
#在Linux系统中,$libdir通常指定为/usr/lib/postgresql/{version}/lib/
#在命令行中输入以下命令查找$libdir路径:
[root@localhost postgresql-13.7]# pg_config --libdir
/usr/pgsql-13/lib
[root@localhost postgresql-13.7]# cd /usr/pgsql-13/lib


#若pg_config工具未安装,可配置
#查询pg_config文件位置
[root@localhost postgresql-13.7]# find / -name pg_config
find: ‘/proc/32474’: No such file or directory
/usr/pgsql-13/bin/pg_config
/opt/src/postgresql-13.7/src/bin/pg_config
/opt/src/postgresql-13.7/src/bin/pg_config/pg_config
#将/usr/pgsql-13/bin替换为你的pg_config实际所在的路径
export PATH=$PATH:/usr/pgsql-13/bin
#生效
source ~/.bashrc
#测试pg_config是否生效,输入pg_config后有信息显示
pg_config


#复制passwordcheck.so到原数据库的$libdir下
cp /opt/src/postgresql-13.7/contrib/passwordcheck/passwordcheck.so /usr/pgsql-13/lib
[root@localhost lib]# ls
bitcode                 libecpg.so            utf8_and_euc2004.so
cyrillic_and_mic.so     libecpg.so.6          utf8_and_euc_cn.so
dict_int.so             libecpg.so.6.13       utf8_and_euc_jp.so
dict_snowball.so        libpgfeutils.a        utf8_and_euc_kr.so
dict_xsyn.so            libpgtypes.so.3       utf8_and_euc_tw.so
euc2004_sjis2004.so     libpgtypes.so.3.13    utf8_and_gb18030.so
euc_cn_and_mic.so       libpq.so.5            utf8_and_gbk.so
euc_jp_and_sjis.so      libpq.so.5.13         utf8_and_iso8859_1.so
euc_kr_and_mic.so       libpqwalreceiver.so   utf8_and_iso8859.so
euc_tw_and_big5.so      passwordcheck.so      utf8_and_johab.so
latin2_and_win1250.so   pgoutput.so           utf8_and_sjis2004.so
latin_and_mic.so        plpgsql.so            utf8_and_sjis.so
libecpg_compat.so.3     utf8_and_big5.so      utf8_and_uhc.so
libecpg_compat.so.3.13  utf8_and_cyrillic.so  utf8_and_win.so

五、添加passwordcheck扩展,重启数据库

#查看shared_preload_libraries
postgres=# show shared_preload_libraries;
 shared_preload_libraries 
--------------------------
 
(1 row)

#配置shared_preload_libraries
postgres=# alter system set shared_preload_libraries='passwordcheck';
ALTER SYSTEM

#重启数据库
[root@localhost passwordcheck]# systemctl restart postgresql-13
[root@localhost passwordcheck]# systemctl status postgresql-13

#查看配置是否生效
postgres=# show shared_preload_libraries;
 shared_preload_libraries 
--------------------------
 passwordcheck
(1 row)

六、新建账户AAA,测试密码复杂度是否生效

postgres=# CREATE USER AAA WITH PASSWORD '123';
ERROR:  password is too short
postgres=# CREATE USER AAA WITH PASSWORD '123456';
ERROR:  password is too short
postgres=# CREATE USER AAA WITH PASSWORD '12345678';
ERROR:  password must contain both letters and nonletters
postgres=# CREATE USER AAA WITH PASSWORD '1234567a';
ERROR:  password is easily cracked
postgres=# CREATE USER AAA WITH PASSWORD '123456Aa';
ERROR:  password is easily cracked
postgres=# CREATE USER AAA WITH PASSWORD '12345$Aa';
ERROR:  password is easily cracked
postgres=# CREATE USER AAA WITH PASSWORD 'D3mNj76F';
CREATE ROLE

七、报错问题

1、编译passwordcheck时,出现

"configure:12156: error: readline library not found If you have readline already installed, see config.log for details on the Use --without-readline to disable readline support. pgac_cv_check_readline=no with_readline='yes'"

"checking for inflate in -lz... no configure: error: zlib library not found If you have zlib already installed, see config.log for details on the failure. It is possible the compiler isn't looking in the proper directory. Use --without-zlib to disable zlib support."

由于没有安装readline库和zlib库,下载安装库后再次编译即可。

#安装readline库
yum install readline-devel 

#安装zlib库 
yum install zlib-devel

参考:

PostgreSQL扩展之passwordcheck - 墨天轮

PostgreSQL数据库安全加固(一)——设置密码复杂度_postgresql密码复杂度-CSDN博客

https://www.cnblogs.com/Jingkunliu/p/14048221.html

IC棒棒
关注
  • 17
    点赞
  • 18
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
PG中的密码复杂度校验passwordcheck
04-11 1310
PG中的密码复杂度校验passwordcheck [pg12@wcbpgcm1 data]$ psql psql (12.9) Type "help" for help. postgres=# show shared_preload_libraries; shared_preload_libraries -------------------------- (1 row) postgres=# alter system set shared_preload_libraries = 'passwo
postgresql-11安装、备份与恢复、修改用户密码
weixin_44530708的博客
04-07 1627
postgresql-11安装、备份与恢复
PostgreSQL 为适配等保测评要求的安全配置方法汇总(Linux&Windows)
long15415590的专栏
03-21 2423
针对以上几条要求,从网上查找资料以及自己的尝试,基本解决了问题。(1)登陆navicat,创建查询,建立一个其他超级用户postgres1(2)用postgres1登陆navicat,创建查询,修改postgres名称用以下语句生成自动延期90天的修改语句(3)删除postgres1。
Postgresql数据库安全配置-密码
snowyar的专栏
10-30 2397
密码配置命令可能会被记录到history文件及csvlog日志文件中(如果开启了DDL或更高级别审计log_statement),这些文件明文记录了密码,可能造成密码泄露风险。passwordcheck.so模块可以实现密码复杂度要求,此模块可以检查密码,如果密码太弱,他会拒绝连接。例如密码长度,包含数字,字母,大小写,特殊字符等,同时排除暴力破解字典中的字符串。创建用户或修改用户密码时,强制限制密码复杂度,限制密码不能重复使用。pg支持密码有效期配置,可以通过配置密码有效期,制定密码更换周期。
PostgreSQL数据库安全加固(一)——设置密码复杂度
ma286388309的博客
02-15 4874
PostgreSQL数据库密码复杂度设置可以通过安装passwordcheck扩展插件来实现,该插件默认的密码复杂度规则是密码长度必须大于等于8、必须包含字母和非字母、密码不能包含用户名。如果这些规则仍然不能满足你的密码强度要求,那么还可以安装cracklib以及字典来提高密码强度。设置密码复杂度时注意路径和权限,根据报错排查问题。
postgresql密码复杂度验证和有效期
最新发布
debugcool的博客
07-31 350
为了数据库安全以及应对等保测评等要求,我们需要设置密码复杂度。我们通过passwordcheck模块实现复杂度检测功能。
PostgreSQL中如何实现密码复杂度检查?
Enmotech的博客
09-28 4259
墨墨导读:PostgreSQL使用passwordcheck扩展通过CrackLib来检查口令。数据技术嘉年华,十周年盛大开启,点我立即报名!大会以“自研·智能·新基建——云和数据促创新...
PostgreSQL库做等保测评,需要对密码长度、复杂度做限制
chenyifan0329的博客
03-21 769
运行后再去执行rpm -ivh postgresql14-contrib-14.4-1PGDG.rhel7.x86_64.rpm就能执行成功了。3、需要安装包postgresql14-contrib-14.4-1PGDG.rhel7.x86_64.rpm。缺少libpython3.6m.so.1.0、libxslt.so.1这两个依赖包。执行完成后数据库就能启动成功了。1、在配置文件里加入下面这行。2、数据库启动时报如下错误。将安装包上传到服务器上执行。从官网上下载对应版本的包。
【数据库】PostgreSQL增加密码复杂度校验
菜鸟sdut的博客
05-28 4985
前言 最近修改问题单,被分配了一个增加密码复杂度校验的单子,PG库也不是很懂,查了资料,PG有自带的密码复杂度校验插件,只需要使用这个插件就可以了,然后根据这几天的折腾,总结一下。 怎么添加密码复杂度校验插件 PostgreSQL可以使用passwordcheck扩展+CrackLib来检查口令,并且 PostgreSQL自带了一个插件passwordcheck可以满足简单的密码复杂度测验, 防止使用过短, 或者与包含用户名的密码。 PG的密码复杂度校验插件所在目录是contrib/passwordchec
MYSQL、ORACLE、SQLSERVER、Postgres、Redis数据库等保测评作业指导书V1.1
07-26
Postgres数据库测评基本查询语句旨在评估Postgres数据库的安全配置,包括查询Postgres数据库密码复杂度密码有效期、登录失败处理措施、超时时间、用户及用户允许登录的IP、审计功能等。这些查询语句可以帮助数据库...
PostgreSQL数据库之密文密码检查(passwordcheck)
weixin_38700215的博客
06-19 450
passwordcheck插件是一个检查密码发杂度的postgresql数据库插件,用于检测新创建或新修改的用户密码复杂度。如果密码是以明文字符串的形式传送到数据库服务端的,那么密码复杂度很容易检查,无非就是对字符串的检查。但是,postgresql数据库允许以密文形式修改用户密码,也就是用户可以先把新密码加密(加密算法可选上面提到的算法),然后把加密后的密文传送到服务端,服务端接收到的是加密了的密码,又怎么进行密码复杂度检查呢?
PostgreSQL之V10用户密码认证及加密算法scram-sha-256
HighGO
10-12 9639
PG V10官方手册关于用户密码的描述 PostgreSQL数据库口令独立于操作系统用户口令。每个数据库用户的口令被存储在pg_authid系统目录中。 口令可以用 SQL 命令CREATE USER和ALTER ROLE管理,例如CREATE USER foo WITH PASSWORD 'secret', 或者psql命令\password。如果没有为一个用户设置口令,那么存储的口...
关于PostgreSQL密码安全策略
sunny05296的博客
10-15 5566
关于PostgreSQL密码安全策略 1.加密存储策略 2.密码验证失败次数限制锁定和解锁策略 3.密码复杂度策略(弱密码、重复密码等) 4.密码有效期策略 查看 PostgreSQL 服务状态(查看BINDIR和PGDATA路径) systemctl status postgresql-12 加密存储 查看密码加密方式 show password_encryption; testdb01=# show password_encryption; password_encryption -----...
我把PostgreSQL最核心的插件撸干净了!!!
IT邦德
05-24 1151
PostgreSQL运维的使用总结,只谈使用经验,不聊原理
postgre安装passwordcheck模块
wutongyuWxc的博客
07-17 313
1、以安装源码安装postgresql-10.23.tar.gz为例,将起解压到./postgresql-10.23目录,指定安装目录:/usr/local/postgreSQL;具体安装步骤略.....3、进入contrib/passwordcheck/ 目录,执行 make 和 make install 编译生成 passwordcheck.so;2、将./postgresql-10.23目录下的contrib 和 src目录拷贝到/usr/local/postgreSQL/data目录下;
PostgreSQL password security
postgrechina的博客
10-14 4594
数据库密码管理是数据库安全的重要环节之一. 例如简单密码策略应该包含 :  1. 密码复杂度 2. 密码验证失败延迟 3. 密码更换周期, 以及重复使用策略 4. 密码验证失败几次后锁定, 以及解锁时间等 5. 设置密码时防止密码被记录到数据库日志,history,~/.psql_history或审计日志中. (也可以使用pwd+user的md5值设置密码, 或
PostgreSQL密码认证延时方法
tiandao2009的博客
03-20 2170
1. 在配置文件中设定1.1 在postgresql.conf文件中,修改参数authentication_timeout,可以设定认证超时的方法。该参数的默认值为60s,取值范围在1s-600s之间。如下图:1.2 密码验证失败延迟主要用于防止暴力破解. 验证失败后, 延迟一个时间窗口才能继续验证。方法如下:① 首先检查bin目录下是否存在auth_delay.dll文件,如果存在则继续:② 修...
linux忘记postgres用户密码
05-23
如果你在Linux上忘记了PostgreSQL用户的密码,可以按照以下步骤进行重置。 1.以root用户登录到Linux系统。 2.使用以下命令切换到postgres用户: ``` sudo su - postgres ``` 3.使用以下命令进入psql命令行工具: ``` psql ``` 4.在psql提示符下输入以下命令,将postgres用户的密码更改为新密码(请将new_password替换为你想要设置的新密码): ``` ALTER USER postgres WITH PASSWORD 'new_password'; ``` 5.退出psql命令行工具: ``` \q ``` 6.退出postgres用户: ``` exit ``` 7.现在你可以使用新密码登录postgres用户。 希望这些步骤能够帮助你重置PostgreSQL用户密码
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值