Zmusić klientów PostgreSQL do korzystania z SSL?

29

Mam skonfigurowane ssl = onw postgresql.conf(i zainstalował etcetera certyfikat). Czy to zapewnia, że ​​wszyscy klienci zawsze będą łączyć się za pośrednictwem protokołu SSL?

(Czy ssl = onto uniemożliwia nawiązanie połączenia bez szyfrowania SSL?)

Czy istnieją inne sposoby zapewnienia, że ​​wszyscy klienci zawsze łączą się za pośrednictwem protokołu SSL / TLS?

Z pozdrowieniami, KajMagnus

postgresql 
KajMagnus
źródło

Odpowiedzi:

27

ssl = on umożliwia jedynie korzystanie z SSL.

Aby upewnić się, że wszyscy klienci używają protokołu SSL, dodaj hostsslwiersze pg_hba.conf, np.

hostssl  all  all  0.0.0.0/0  md5

i usuń wszystkie hostlinie. (Cóż, może zatrzymaj te localhost.)

Peter Eisentraut
źródło
Mam skonfigurowane wszystkie ustawienia w postgresql.confi pg_hba.conf. Jednak nadal mogę się połączyć sslmode=disable. np. psql "sslmode = wyłącz hosta = localhost dbname = test" Czy coś tu przegapiłem?
Andy Aldo
@AndyAldo Aby to przeanalizować, trzeba będzie zobaczyć całą konfigurację. To jest poza zakresem tutaj.
Peter Eisentraut
13

Nie, to po prostu umożliwia korzystanie z SSL. Musisz także wprowadzić odpowiednie zmiany w pliku pg_hga.conf .

gsiems
źródło
2
Och, musiałem źle odczytać dokumenty: myślałem, że hostsslwymagam od klienta dostarczenia własnego certyfikatu SSL, ale teraz zauważyłem, że istnieje certmetoda uwierzytelniania, którą mogę określić w pg_hga.conf.
KajMagnus,
(Dziękuję, głosuję za odpowiedzą później, gdy będę wymagał 15 powtórzeń).
KajMagnus,
Korzystając z naszej strony potwierdzasz, że przeczytałeś(-aś) i rozumiesz nasze zasady używania plików cookie i zasady ochrony prywatności.
Licensed under cc by-sa 3.0 with attribution required.