Postgresql: Skryptowe wykonywanie psql z hasłem

274

Jak mogę wywołać psql, aby nie monitował o hasło ?

Oto co mam:

psql -Umyuser < myscript.sql

Jednak nie mogłem znaleźć argumentu, który przekazuje hasło, dlatego psql zawsze go prosi.

postgresql psql

— Axel Fontaine
źródło

4

Skończyło się na szukaniu zmiennej środowiskowej PGPASSWORD. To idealnie pasowało do mojej walizki. Prosty i samodzielny w skrypcie.

— Axel Fontaine

Właśnie znalazłem ten postgresguide.com/utilities/psql.html

— D_C

Możliwy duplikat Jak określić hasło do psql nieinteraktywnie?

— Helder Pereira

315

Istnieje kilka sposobów uwierzytelnienia w PostgreSQL. Możesz sprawdzić alternatywne sposoby uwierzytelniania za pomocą hasła na stronie https://www.postgresql.org/docs/current/static/client-authentication.html .

Aby odpowiedzieć na twoje pytanie, istnieje kilka sposobów podania hasła do uwierzytelnienia opartego na haśle. Oczywistym sposobem jest podanie hasła. Zamiast tego możesz podać hasło w pliku pgpass lub poprzez PGPASSWORDzmienną środowiskową. Zobacz te:

Nie ma opcji podania hasła jako argumentu wiersza poleceń, ponieważ informacje te są często dostępne dla wszystkich użytkowników, a zatem niepewne. Jednak w środowiskach Linux / Unix możesz podać zmienną środowiskową dla jednego polecenia, takiego jak to:

PGPASSWORD=yourpass psql ...

— Reece
źródło

11

Myślę, że PGPASSWORD jest przestarzałe, ale nadal działa, przy okazji. Just FYI

— Scott Marlowe

35

Tak, jest przestarzałe (i tak zaznaczono w jednym z linków). Ponieważ pojawiło się, prawdopodobnie warto również zauważyć, że wycofanie jest bardzo kwestionowane, ponieważ jest niezwykle przydatne dla wielu osób, ale może być używane w niektórych okolicznościach bez poważnych obaw dotyczących bezpieczeństwa. Wydaje mi się, że nie jest to gorsze niż przechowywanie .pgpass na przykład w systemie plików NFS. Rutynowo używam PGPASSWORD.

— Reece

1

idea, że informacje z wiersza poleceń są „dostępne dla wszystkich użytkowników”, opiera się na przestarzałych założeniach dotyczących systemów wieloużytkownikowych i nie ma zastosowania w większości nowoczesnych środowisk, w których systemy uruchamiają tylko jedną aplikację i wszystko jest zautomatyzowane

— Alex R

159

PGPASSWORD=[your password] psql -Umyuser < myscript.sql

— Greg
źródło

1

działa to również w terraformie. ty, mój przyjacielu,

— ratujesz życie

67

Możesz dodać ten wiersz poleceń na początku skryptu:

set PGPASSWORD=[your password]

— jbaylina
źródło

24

w moim przypadku polecenie set nie działało, ale export PGPASSWORD=[password]działało

— Can Kavaklıoğlu

nie działa w skrypcie powłoki. Używam go

#!/bin/sh set PGPASSWORD = postgres psql -h 192.168.3.200 -U postgres incx_um << EOF DELETE FROM usrmgt.user_one_time_codes WHERE time < NOW() - INTERVAL '30 minute' EOF

— Govind Gupta

2

Staraj się nie używać spacji, np. PGPASSWORD=password.

— Ariejan

48

Jeśli zamierzasz mieć wiele połączeń host / baza danych, najlepszym rozwiązaniem jest plik ~ / .pgpass .

Kroki:

Utwórz plik za pomocą vim ~/.pgpasslub podobnego. Wprowadź informacje w następującym formacie: hostname:port:database:username:passwordNie dodawaj cudzysłowów ciągowych wokół wartości pól. Możesz także użyć * jako symbolu wieloznacznego dla pól portu / bazy danych.
Musisz chmod 0600 ~/.pgpass, aby psql nie ignorował go po cichu.
Utwórz alias w swoim profilu bash, który uruchomi dla ciebie twoje polecenie psql. Na przykład: alias postygresy='psql --host hostname database_name -U username'Wartości powinny być zgodne z wartościami wprowadzonymi do pliku ~ / .pgpass.
Źródło swojego profilu bash z . ~/.bashrclub podobnym.
Wpisz swój alias z wiersza poleceń.

Zauważ, że jeśli masz ustawiony zestaw zmiennych PGPASSWORD = '', będzie on miał pierwszeństwo przed plikiem.

— tandy
źródło

1

Musisz zrobić a chmod 600na pliku, w przeciwnym razie psqldyskretnie go zignoruje (zgodnie z dokumentami).

— RichVel

33

To może być stare pytanie, ale istnieje alternatywna metoda, której można użyć, o której nikt nie wspomniał. Możliwe jest określenie hasła bezpośrednio w URI połączenia. Dokumentację można znaleźć tutaj lub alternatywnie tutaj .

Możesz podać swoją nazwę użytkownika i hasło bezpośrednio w identyfikatorze URI połączenia podanym w celu psql:

# postgresql://[user[:password]@][netloc][:port][/dbname][?param1=value1&...]
psql postgresql://username:password@localhost:5432/mydb

— ajxs
źródło

2

Postrgres 9.3 ignoruje zmienną środowiskowąPGPASSWORD

— david.perez

14

Jeśli masz problemy w systemie Windows takim jak ja (używam 64-bitowego systemu Windows 7) i set PGPASSWORD=[Password]nie działało.

Następnie, jak powiedział Kavaklioglu w jednym z komentarzy,

export PGPASSWORD=[password]

Będziesz musiał zapisać to na górze pliku lub przed użyciem, więc ustaw go przed wywołaniem.

Z pewnością działa na systemie Windows :)

— Jamie Hutber
źródło

1

export PGPASSWORD=[password]w ogóle nie działa przy użyciu wiersza polecenia (cmd.exe). Czy na pewno nie używasz cygwina lub czegoś podobnego?

— Devin Snyder,

Działa tylko z cl, dodałeś go do pliku, prawda? Teraz wpisałeś to w poleceniu?

— Jamie Hutber,

można używać go w środowisku Linux / Mac, w systemie Windows myślę, że powinieneś znaleźć sposób na wyeksportowanie tej zmiennej środowiskowej.

— Pengfei.X

Dodaj globalne hasło ... To także ciekawy pomysł

— Jamie Hutber

12

Musisz utworzyć plik hasła: więcej informacji można znaleźć na stronie http://www.postgresql.org/docs/9.0/interactive/libpq-pgpass.html .

— Femi
źródło

7

Biorąc pod uwagę obawy dotyczące bezpieczeństwa związane ze stosowaniem zmiennej środowiskowej PGPASSWORD, myślę, że najlepsze ogólne rozwiązanie jest następujące:

Napisz swój tymczasowy plik pgpass z hasłem, którego chcesz użyć.
Użyj zmiennej środowiskowej PGPASSFILE, aby powiedzieć psql, aby używał tego pliku.
Usuń tymczasowy plik pgpass

Jest tu kilka ważnych punktów. Krok 1 ma na celu uniknięcie zmarnowania pliku ~ / .pgpass użytkownika, który może istnieć. Musisz także upewnić się, że plik ma uprawnienia 0600 lub niższe.

Niektórzy sugerują użycie bash do skrótu w następujący sposób:

PGPASSFILE=<(echo myserver:5432:mydb:jdoe:password) psql -h myserver -U jdoe -p 5432 mydb

Korzysta ze składni <(), aby uniknąć konieczności zapisywania danych w rzeczywistym pliku. Ale to nie działa, ponieważ psql sprawdza, który plik jest używany i zgłasza taki błąd:

WARNING: password file "/dev/fd/63" is not a plain file

— mightybyte
źródło

Działający przykład tego podejścia pojawia się w stackoverflow.com/a/40614592/3696363 - kolejna odpowiedź na to pytanie.

— Eliyahu Skoczylas

Chociaż ten użytkownik tak naprawdę nie prosił o to, czego szukam, powiedziałbym, że podejście nie pasuje. Korzystając ze składni PGPASSFILE = <(cokolwiek), możesz wykonywać takie czynności, jak odszyfrowanie pliku i obecność go tylko w utworzonym deskryptorze pliku. Pisząc plik tymczasowy, nie rozwiązujesz zasadniczo problemu posiadania pliku na dysku z poświadczeniami. Nie jest fajnie radzić sobie z takimi arbitralnymi regułami branżowymi, ale wiele osób ma z tym do czynienia.

— Desidero

7

Można to zrobić po prostu za pomocą PGPASSWORD. Używam psql 9.5.10. W twoim przypadku rozwiązaniem byłoby

PGPASSWORD=password psql -U myuser < myscript.sql

— pyAddict
źródło

5

Opierając się na odpowiedzi mightybyte dla tych, którzy nie czują się dobrze ze skryptami powłoki * nix , oto działający skrypt:

#!/bin/sh
PGPASSFILE=/tmp/pgpasswd$$
touch $PGPASSFILE
chmod 600 $PGPASSFILE
echo "myserver:5432:mydb:jdoe:password" > $PGPASSFILE
export PGPASSFILE
psql mydb
rm $PGPASSFILE

Podwójny znak dolara ( $$) w /tmp/pgpasswd$$wierszu 2 dołącza numer identyfikacyjny procesu do nazwy pliku, dzięki czemu skrypt może być uruchamiany więcej niż jeden raz, nawet jednocześnie, bez skutków ubocznych.

Zwróć uwagę na użycie chmodpolecenia w wierszu 4 - podobnie jak opisany przez mightybyte błąd „ zwykły plik ” , istnieje również błąd „ uprawnień ”, jeśli nie zostanie to zrobione.

W linii 7 nie musisz używać flagi -hmyserver , -pmyport ani -Ujdoe, jeśli używasz wartości domyślnych ( localhost : 5432 ) i masz tylko jednego użytkownika bazy danych. W przypadku wielu użytkowników (ale domyślne połączenie) zmień tę linię na

psql mydb jdoe

Nie zapomnij, aby skrypt wykonywalny z

chmod +x runpsql( lub jakkolwiek nazwałeś plik skryptu )

AKTUALIZACJA:

Wziąłem RichVel porady „s i wykonany plik nieczytelny przed uruchomieniem hasło do niego. To zamyka niewielką lukę bezpieczeństwa. Dzięki!

— Eliyahu Skoczylas
źródło

4

Możesz użyć mktempdo utworzenia pliku tymczasowego zamiast tworzenia własnego schematu nazewnictwa. Tworzy nowy plik tymczasowy (o nazwie podobnej /tmp/tmp.ITXUNYgiNhdo Linuxa i /var/folders/xx/7gws2yy91vn9_t2lb8jcr2gr0000gn/T/tmp.QmbVOQk4MacOS X) i wypisuje jego nazwę na standardowe wyjście.

— Ivan Kolmychek

1

Problem bezpieczeństwa Najlepiej zrobić to chmod 600po utworzeniu pliku, ale przed zapisaniem hasła do niego. Jak napisano, złośliwy skrypt na serwerze może nieustannie próbować czytać pliki tego formatu, a czasem może uzyskać hasło. Ponadto, jeśli ten skrypt zostanie z jakiegoś powodu przerwany, plik zostałby pozostawiony na dysku - napisanie trapprocedury obsługi powłoki rozwiązałoby ten problem. Biorąc pod uwagę, że napisanie takiego bezpiecznego skryptu nie jest trywialne, zalecamy użycie export PGPASSWORDzamiast tego.

— RichVel

Dzięki, @RichVel za wskazanie tej małej dziury w zabezpieczeniach. Dotknij, aby utworzyć i ustawić plik jako prywatny, zanim umieścisz w nim hasło, to zdecydowane ulepszenie. Tego rodzaju rozwiązanie jest potrzebne, ponieważ PGPASSWORDzostało przestarzałe w 9.3.

— Eliyahu Skoczylas

Niektóre dokumenty mówią, że jest przestarzałe, ale jak wspomniano w komentarzu do tego pytania i odpowiedzi , wycofanie jest kwestionowane i nadal działa od Postgres 10.6

— RichVel 11.04.19

5

Alternatywą dla używania PGPASSWORDzmiennej środowiskowej jest użycie conninfołańcucha zgodnie z dokumentacją

Alternatywnym sposobem określenia parametrów połączenia jest ciąg Conninfo lub identyfikator URI, który jest używany zamiast nazwy bazy danych. Ten mechanizm zapewnia bardzo szeroką kontrolę nad połączeniem.

$ psql "host=<server> port=5432 dbname=<db> user=<user> password=<password>"

postgres=>

— ubi
źródło

2

Może się to przydać: Wiersz polecenia Windows PSQL: czy istnieje sposób na logowanie bez hasła?

— Pytający
źródło

1

8 lat później ...

Na moim komputerze Mac musiałem wstawić wiersz do pliku, ~/.pgpasstaki jak:

<IP>:<PORT>:<dbname>:<user>:<password>

Zobacz także:
https://www.postgresql.org/docs/current/libpq-pgpass.html
https://wiki.postgresql.org/wiki/Pgpass

— Dirk Schumacher
źródło

Nie używaj -W dla psql, jeśli używasz .pgpass. Ten parametr anuluje użycie .pgpass.

— avvensis

-1

Uważam, że psql wyświetla monit o podanie hasła, nawet jeśli zdefiniujesz zmienną PGPASSWORD, ale możesz podać opcję -w, aby psql pomijał monit o podanie hasła.

— Mark Lokshin
źródło

-6

Użyj -w w poleceniu: psql -h localhost -p 5432 -U użytkownik -w

— vjOnstack
źródło