云社区 博客 博客详情

PostgreSQL插件之auth_delay 防密码破解

大象数据库 发表于 2020-06-20 16:19:25 2020-06-20
0
0

【摘要】 一、对于rds上可以可通过安全组设置可信的ip地址,效果类似于设置pg_hba.conf。通过设置可信ip,基本上可以把绝大部分破解的可能性都格挡在外。毕竟数据库不是应用,不需要面向互联网开放。二、除此之外,还有什么办法?oracle和mysql都具备这个功能,超过次数后锁定用户或卡住。找了下资料:发现pg有一个插件auth_delay,可以延长暴力破解的时间。三、引用:http://www...

一、对于rds上可以可通过安全组设置可信的ip地址,效果类似于设置pg_hba.conf。通过设置可信ip,基本上可以把绝大部分破解的可能性都格挡在外。毕竟数据库不是应用,不需要面向互联网开放。

image.png

image.png

二、除此之外,还有什么办法?

oracle和mysql都具备这个功能,超过次数后锁定用户或卡住。找了下资料:发现pg有一个插件auth_delay,可以延长暴力破解的时间。


三、引用:http://www.postgres.cn/docs/11/auth-delay.html

auth_delay使得服务器在报告鉴定失败之前短暂地停顿一会儿,这使得对数据库口令的蛮力攻击更加困难。注意它无助于组织拒绝服务攻击,甚至可能会加剧它们,因为在报告鉴定失败之前等待的进程仍然要消耗连接。

要使之工作,该模块必须通过postgresql.conf中的shared_preload_libraries载入。

F.3.1. 配置参数

  • auth_delay.milliseconds (int)

  • 在报告鉴定失败之前等待的毫秒数。默认值为0。

这些参数必须在postgresql.conf中设置。典型的使用是:

# postgresql.conf
shared_preload_libraries = 'auth_delay'

auth_delay.milliseconds = '500'

F.3.2. 作者

KaiGai Kohei 


登录后可下载附件,请登录或者注册

【版权声明】本文为华为云社区用户原创内容,转载时必须标注文章的来源(华为云社区),文章链接,文章作者等基本信息,否则作者和本社区有权追究责任。如果您发现本社区中有涉嫌抄袭的内容,欢迎发送邮件至:huaweicloud.bbs@huawei.com进行举报,并提供相关证据,一经查实,本社区将立刻删除涉嫌侵权内容。
评论文章 //点赞 收藏 0
点赞
分享文章到微博
分享文章到朋友圈

上一篇:pgAdmin基本操作使用指南

下一篇:PostgreSQL插件之pg_dropcache清理缓冲

评论 (0)


登录后可评论,请 登录注册

评论