postgresql 数据库 等保审计 遇到的问题与办法 (整理)
postgresql 数据库 等保审计 遇到的问题与办法 (整理)
文章目录
- postgresql 数据库 等保审计 遇到的问题与办法 (整理)
- 1. 数据库未启用鉴别信息检查
- 2. 数据库未配置密码使用期限
- 3.数据库未实现登录超时自动退出
- idle_in_transaction_session_timeout
- connect_timeout
- 4.数据库安全审计功能不完善
- 1.建议开启log_connections、log_disconnections 实现对用户登入、登出的记录
- 2.建议messages至少为info级别
- 5. 数据库日志保存时间不足六个月(当前为一周)
- 6.数据库终端接入地址未限制
前言
最近工作老是碰到需要对数据库进行等保测评 ,我在次整理一次。
1. 数据库未启用鉴别信息检查
开启强密码判断,需要统一改一次密码,建议开启passwordcheck.so模块
密码复杂度模块配置:
passwordcheck.so模块可以实现密码复杂度要求,此模块可以检查密码,如果密码太弱,他会拒绝连接
创建用户或修改用户密码时,强制限制密码的复杂度,限制密码不能重复使用
1.首先修改密码 ,把密码改成强密码
alter role postgres with password ‘new password’;
2.修改参数shared_preload_libraries为‘$libdir/passwordcheck’
2. 数据库未配置密码使用期限
方法一:
select * from pg_shadow;
修改valuntil 字段。
方法二: navicat 上修改
3.数据库未实现登录超时自动退出
根据业务需求修改参数
idle_in_transaction_session_timeout
终止开启事务但空闲时间超过指定持续时间(以毫秒为单位)的任何会话。
这样可以释放该会话持有的所有锁,并重新使用连接插槽;它还允许vacuum仅对该事务可见的元组。
默认值0禁用此功能。
connect_timeout
最大等待连接时间,以秒为单位(以十进制整数形式编写,例如10)。零,负数或未指定意味着无限期等待。
允许的最小超时为2秒,因此将值1解释为2。
此超时分别适用于每个主机名或IP地址。例如,如果指定两个主机且connect_timeout为5,则如果5秒钟内未建立任何连接,则每个主机都将超时,因此等待连接所花费的总时间可能最多为10秒。
我这边是把idle_in_transaction_session_timeout=30000.
4.数据库安全审计功能不完善
1.建议开启log_connections、log_disconnections 实现对用户登入、登出的记录
2.建议messages至少为info级别
log_min_messages (string)
控制写到数据库日志文件中的消息的级别。合法的取值是DEBUG5、DEBUG4、DEBUG3、DEBUG2、DEBUG1、INFO、NOTICE、WARNING、ERROR、 LOG、FATAL和PANIC,每个级别都包含排在它后面的所有级别中的信息。级别越低,数据库运行日志中记录的消息就越少。默认值是NOTICE。只有超级用户才能修改这个参数。只有超级用户才能设置这个参数。
5. 数据库日志保存时间不足六个月(当前为一周)
修改
log_filename = ‘postgresql-%j.log’
6.数据库终端接入地址未限制
listen_addresses (string)
这个参数只有在启动数据库时,才能被设置。它指定数据库用来监听客户端连接的TCP/IP地址。默认是值是* ,表示数据库在启动以后将在运行数据的机器上的所有的IP地址上监听用户请求(如果机器只有一个网卡,只有一个IP地址,有多个网卡的机器有多个 IP地址)。可以写成机器的名字,也可以写成IP地址,不同的值用逗号分开,例如,’server01’, ’140.87.171.49, 140.87.171.21’。如果被设成localhost,表示数据库只能接受本地的客户端连接请求,不能接受远程的客户端连接请求。
修改postgres的系统文件pg_hba.conf 文档
添加服务器ip限制
| ip | 限制 |
|---|---|
| 0.0.0.0/0 | 无限制 |
| 10.0.0.0/8 | 允许以10.开头的ip访问 |
| 10.10.0.0/16 | 允许以10.10.. 开头的ip访问 |
| 10.10.10.0/24 | 允许以10.10.10.* 的ip访问 |
| 10.10.10.100/32 | 只允许10.10.10.100的ip访问 |
重启服务器
systemctl stop postgresql-11systemctl start postgresql-11
postgresql 数据库 等保审计 遇到的问题与办法 (整理)相关推荐
- python实现一种检测postgresql数据库是否已经连接且为主节点的办法
背景 在高可用的背景下,有的时候会发生数据库主从切换.python实现检测当前数据库是否切换成功 方法核心思想 select pg_is_in_recovery(); 通过执行这一条sql语句来判断, ...
- 高手过招,精彩纷呈:PostgreSQL数据库人才与业务生态应用论坛圆满落幕
经过数月紧密筹备,第二届长沙·中国1024程序员节于2021年10月23日在湖南省长沙市重磅开幕.本次大会聚焦行业内的多个领域,如果你最感兴趣的领域是数据库,那你一定不能错过10月23日下午的Post ...
- PostgreSQL数据库扩展包——原理CreateExtension扩展控制文件解析
createExtension函数 首先看createExtension函数,该函数首先调用check_valid_extension_name函数在任何访问文件系统之前检测extension的名字的 ...
- PostgreSQL数据库系列之六:增量备份和恢复
[概述] 备份是恢复的前提.不发生故障时,世界很太平,但发生故障时,如果不能顺利进行恢复,那将是一场噩梦!甚至可能对于企业是致命打击,这绝对不是危言耸听! 日常的备份有效性的检查就显得尤其重要,一个无 ...
- PostgreSQL数据库头胎——后台一等公民进程StartupDataBase StartupXLOG函数进入Recovery模式
检查我们是否需要强制从 WAL 中恢复. 如果数据库似乎是完全关闭并且我们没有恢复信号文件,则假设不需要恢复(InRecovery = false). /* Check whether we need ...
- PostgreSQL数据库专家唐成:用最专业的服务解决用户最大的痛点
-------- 作者:刘学习 由工信部中国开源软件推进联盟PostgreSQL分会主办的大型PostgreSQL技术交流盛会--PostgreSQL Open CHN 2018于6月29日在北京成功 ...
- pg数据库开启远程连接_如何运行远程客户端连接postgresql数据库
如何运行远程客户端连接 postgresql 数据库 前提条件是 2 个: 1 , pg_hba.conf 里面配置了运行远程客户机连接 pg_hba.conf 配置后需要重新加载 reload 生效 ...
- 数据库服务器 之 PostgreSQL数据库的日常维护工作
来自:LinuxSir.Org 摘要:为了保持所安装的 PostgreSQL 服务器平稳运行, 我们必须做一些日常性的维护工作.我们在这里讨论的这些工作都是经常重复的事情, 可以很容易地使用标准的 U ...
- Centos 7环境下源码安装PostgreSQL数据库
马上就要去实习了,工作内容是搞数据仓库方面的,用的是postgresql关系型数据库,于是自己先来了解下这种数据的用法,之后说说这个数据库和MySQL的关系和区别. 1.Postgresql简介 看了 ...
最新文章
- 由浅入深之Tensorflow(3)----数据读取之TFRecords
- Scrapy框架学习记录
- KubeCon 2018 参会记录 —— FluentBit Deep Dive
- Java异常持久化,Log4j进行日志的数据库持久化,说SQL语法异常。
- linux CentOS 系统下如何将php和mysql命令加入到环境变量中
- [概念学习] Virtualization的几个概念
- 系统学习深度学习(十三)--Batch Normalization
- EventBus 加强学习深入了解
- java课程设计仓库管理系统_java课程设计仓库管理系统.doc
- 论文丨免费下载SCI全文文献的10个方法
- QConf分布式配置管理工具 QConf
- 如何查看centos系统版本以及配置信息
- 【渝粤题库】广东开放大学物业管理基本制度与政策 形成性考核
- 【华为云学院】OpenStack原理及在华为云中的应用---知识总结
- 用java实现查询年份的生肖
- iOS屏幕自动旋转 以及横屏模式打开APP出现的问题
- 模拟动态登录,获取cookie和图片验证码登录(AcFun和豆瓣)
- 虚拟机防火墙如何关闭
- 东社村计算机学校,苍南县义务教育阶段部分学校施教区范围
- SeaTunnel 2.1.2的源码解析(5)seatunnel-connectors-flink-http