Безопасное соединение с базой данных

Для повышения безопасности вашего соединения с базой данной выполните следующие действия:

Настройка PostgreSQL

  1. В файле postgresql.conf для параметра ssl укажите значение on (ssl=on).

  2. В папку базы данных добавьте файлы сертификата и ключа (server.crt и server.key).

    Данные файлы могут иметь другие пути. В этом случае укажите их в параметрах ssl_cert_file и ssl_key_file в файле postgresql.conf.

  3. Для большей безопасности в файле pg_hba.conf можно заменить строки host, задающие способы авторизации клиентских подключений, на строки hostssl. В противном случае PostgreSQL будет разрешать как безопасные так и небезопасные подключения.

  4. Выполните перезагрузку сервиса.

Подробнее о настройках режима SSL в PostgreSQL 11 см. здесь.

Настройка PAGrid

В файлах padbservice.cfg и palogarch.cfg настройте параметр sslmode, для которого доступны следующие режимы:

  • disable - означает, что пользователь не заботится о безопасности и не допускает потребление ресурсов, связанное с шифрованием;

  • allow - означает, что пользователь не заботится о безопасности, но допускает потребление ресурсов, связанное с шифрованием, если сервер требует этого;

  • prefer - означает, что пользователь не заботится о безопасности, но соглашается с потреблением ресурсов, если сервер это поддерживает;

  • require - означает, что пользователь хочет, чтобы его данные шифровались, и соглашается с потреблением ресурсов, а также доверяет сети подключение к желаемому серверу;

  • verify-ca - означает, что пользователь хочет, чтобы его данные шифровались, и соглашается с потреблением ресурсов, а также хочет быть уверенным в том, что подключается к доверенному серверу;

  • verify-full - означает, что пользователь хочет, чтобы его данные шифровались, и соглашается с потреблением ресурсов, а также хочет быть уверенным в том, что подключается к доверенному серверу, который он указывает самостоятельно.

По умолчанию используется режим prefer. Рекомендуем использовать режимы verify-ca и verify-full, поскольку только эти два режима могут обеспечивать защиту от MITM атаки: режим verify-full обеспечивает защиту гарантированно, а режим verify-ca - в зависимости от сертификата PostgreSQL.

Для валидации сертификата PostgreSQL убедитесь, что на компьютере, на котором установлен padbservice (или, если logarch=true, на всех остальных компьютерах в кластере), находится файл с корневым сертификатом (или цепочкой сертификатов) в домашней директории пользователя, от которого запускается PA Grid, ~/.postgresql/root.crt.

Подробнее о настройках режима SSL в PostgreSQL 11 см. здесь.