PostgreSQL插件之auth_delay 防密码破解
【摘要】 一、对于rds上可以可通过安全组设置可信的ip地址,效果类似于设置pg_hba.conf。通过设置可信ip,基本上可以把绝大部分破解的可能性都格挡在外。毕竟数据库不是应用,不需要面向互联网开放。二、除此之外,还有什么办法?oracle和mysql都具备这个功能,超过次数后锁定用户或卡住。找了下资料:发现pg有一个插件auth_delay,可以延长暴力破解的时间。三、引用:http://www...
一、对于rds上可以可通过安全组设置可信的ip地址,效果类似于设置pg_hba.conf。通过设置可信ip,基本上可以把绝大部分破解的可能性都格挡在外。毕竟数据库不是应用,不需要面向互联网开放。
二、除此之外,还有什么办法?
oracle和mysql都具备这个功能,超过次数后锁定用户或卡住。找了下资料:发现pg有一个插件auth_delay,可以延长暴力破解的时间。
三、引用:http://www.postgres.cn/docs/11/auth-delay.html
auth_delay使得服务器在报告鉴定失败之前短暂地停顿一会儿,这使得对数据库口令的蛮力攻击更加困难。注意它无助于组织拒绝服务攻击,甚至可能会加剧它们,因为在报告鉴定失败之前等待的进程仍然要消耗连接。
要使之工作,该模块必须通过postgresql.conf中的shared_preload_libraries载入。
F.3.1. 配置参数
这些参数必须在postgresql.conf中设置。典型的使用是:
# postgresql.conf shared_preload_libraries = 'auth_delay' auth_delay.milliseconds = '500'
F.3.2. 作者
KaiGai Kohei <kaigai@ak.jp.nec.com>
【版权声明】本文为华为云社区用户原创内容,转载时必须标注文章的来源(华为云社区)、文章链接、文章作者等基本信息, 否则作者和本社区有权追究责任。如果您发现本社区中有涉嫌抄袭的内容,欢迎发送邮件进行举报,并提供相关证据,一经查实,本社区将立刻删除涉嫌侵权内容,举报邮箱:
cloudbbs@huaweicloud.com
- 点赞
- 收藏
- 关注作者
评论(0)