pg_hba.conf 文件是 PostgreSQL 数据库系统中非常重要的一个配置文件,它用于定义哪些用户(或客户端)可以连接到 PostgreSQL 数据库服务器,以及他们可以使用哪些认证方法进行连接。 pg_hba.conf 的名称来源于 "Host-Based Authentication"(基于主机的认证),它决定了基于客户端的IP地址、子网掩码、数据库名称、用户名和认证方法等因素的访问控制策略。
一、pg_hba.conf介绍
1、配置格式
pg_hba.conf 文件的每一行都定义了一条规则,格式如下:
# TYPE DATABASE USER ADDRESS METHOD
# 允许用户本地连接到所有数据库,无需密码(风险较高,不建议使用)
local all all trust
# 允许来自 192.168.1.0/24 网段的任何用户通过TCP/IP连接到所有数据库,但需要密码
host all all 192.168.1.0/24 password
# 允许所有用户通过TCP/IP连接到与其用户名相同的数据库,使用MD5加密的密码
host sameuser all all md5
# 允许用户dbuser通过TCP/IP连接到DB1数据库,使用MD5加密的密码
host DB1 dbuser all md5-
TYPE:指定连接的类型,可以是 local(本地连接,通过Unix域套接字),host(TCP/IP连接,包括本地和远程),hostssl(要求SSL加密的TCP/IP连接),或 hostnossl(不允许SSL加密的TCP/IP连接,通常不推荐使用)。
-
DATABASE:指定数据库名称,可以是 all(所有数据库),sameuser(与用户名相同的数据库),samerole(与角色名相同的数据库),或者是具体的数据库名。
-
USER:指定用户名,可以是 all(所有用户),或者具体的用户名。
-
ADDRESS:指定客户端的IP地址或子网。可以是单个IP地址(如 192.168.1.1)、一个IP地址范围(如 192.168.1.0/24),或者 samehost(与服务器相同的主机),samenet(与服务器相同的子网),all(所有地址)。
-
METHOD:指定认证方法,可以是 trust(无条件信任,不需要密码),md5(使用MD5加密的密码),password(明文密码,但在发送前会被加密),scram-sha-256(一种更安全的密码认证方法),ldap(基于LDAP服务器的认证),cert(基于SSL证书的认证),等等。
2、注意事项
-
修改
pg_hba.conf文件后,需要重启 PostgreSQL 服务才能使更改生效。 -
出于安全考虑,应谨慎配置
trust方法,因为它允许无条件访问数据库,这可能会带来安全风险。 -
在生产环境中,建议使用强密码和安全的认证方法(如
scram-sha-256或cert)。 -
对于远程连接,特别是通过互联网的连接,应考虑使用SSL加密来增强安全性。
二、配置示例
1、创建用户dbuser,并授权此用户可读取DB1库内所有数据
-- 创建用户,并设置密码
CREATE USER dbuser WITH 'P@ssw0rd';
-- 切换到目标库DB1
\c DB1
-- 使用 GRANT 语句来授予 dbuser用户可以查DB1库内的所有数据
GRANT SELECT ON ALL TABLES IN SCHEMA "public" to lifelinedb;2、pg_hba.conf限制数据库访问
修改pg_hba.conf文件,指定dbuser只能连接访问DB1库
# vi /var/lib/postgresql/data/pg_hba.conf
# TYPE DATABASE USER ADDRESS METHOD
local DB1 dbuser md5 # 本地访问
host DB1 dbuser all md5 # 远程访问
