1.确保通过“主机” TCP / IP套接字登录已正确配置
描述
大量的身份验证方法可用于使用
TCP / IP套接字,包括:
?信任
? 拒绝
?md5
?scram-sha-256
?密码
?gss
?sspi
?身份
?pam
?ldap
?半径
?证书
方法trust,password和ident不能用于远程登录。 方法md5是
最受欢迎,可以在加密和未加密会话中使用,但是
容易受到数据包重播攻击。 建议使用scram-sha-256
而不是md5。
使用gss,sspi,pam,ldap,radius和cert方法,但比md5更安全,
取决于外部认证过程/服务的可用性,因此
未包含在此基准测试中。
加固建议
在配置文件(pg_hba.conf)中如下配置
# TYPE DATABASE USER ADDRESS METHOD
host all postgres 127.0.0.1/32 scram-sha-256
配置文件路径可登录postgres数据库 show hba_file;进行查看
2.确保已禁用“ debug_print_plan”
描述
debug_print_plan设置启用打印每个已执行查询的执行计划。
这些消息在LOG消息级别发出。除非您另有指示
组织的日志记录策略,建议通过将其设置为off来禁用此设置。
加固建议
1.进入postgresql数据库,执行命令show debug_print_plan; 查看状态
2.执行命令
alter system set debug_print_plan = 'off';
select pg_reload_conf();
3.重复执行步骤1,查看状态是否为off(关闭) 请注意: 如果您的postgresql版本在9.3(或更早),请修改配置文件 postgresql.conf 中配置
debug_print_plan = 'off'
并重启
3.确保已禁用“ debug_print_rewrite”
描述
debug_print_rewrite设置允许为每个输出打印查询重写器输出
执行查询。这些消息在LOG消息级别发出。除非有指示
否则,根据您组织的日志记录策略,建议禁用此设置
通过将其设置为关闭
加固建议
1.进入postgresql数据库,执行命令 show debug_print_rewritten; 查看状态
2.执行命令
alter system set debug_print_rewritten = 'off';
select pg_reload_conf(); 3.重复执行步骤1,查看状态是否为off(关闭) 请注意: 如果您的postgresql版本在9.3(或更早),请修改配置文件 postgresql.conf 中配置 debug_print_rewritten= 'off'`
并重启
4.确保已禁用“ debug_print_parse”
描述
debug_print_parse设置启用为每次执行打印结果分析树
查询。 这些消息在LOG消息级别发出。 除非另有指示
您组织的日志记录策略,建议通过设置禁用此设置
关闭。
加固建议
1.进入postgresql数据库,执行命令 show debug_print_parse;
查看状态 2.执行命令
alter system set debug_print_parse = 'off';
select pg_reload_conf();
3.重复执行步骤1,查看状态是否为off(关闭) 请注意: 如果您的postgresql版本在9.3(或更早),请修改配置文件 postgresql.conf 中配置
debug_print_parse = 'off'
并重启
5.确保正确设置了日志目标
描述
PostgreSQL支持多种记录服务器消息的方法,包括stderr,
csvlog和syslog。 在Windows上,也支持eventlog。 这些中的一个或多个
应该为服务器日志输出设置目的地。
加固建议
1.进入postgresql数据库,执行命令 show log_destination; 查看状态
2.执行命令 alter system set log_destination = 'csvlog'; select pg_reload_conf();
3.重复执行步骤1,查看状态是否为'csvlog'
6.密码复杂度检查
描述
检查密码长度和密码是否使用多种字符类型
加固建议
修改shared_preload_libraries参数
$ vi postgresql.conf
新增配置项
shared_preload_libraries = 'passwordcheck'
切换到数据库启动用户:如 u -postgres
执行命令
pg_ctl -D $PGDATA restart
使配置生效(如未配置系统变量pg_ctl 默认在安装的bin目录下)
如果您没有安装配置passwordcheck(自带的第三方插件,建议重新安装) 如不能重装,可考虑加白名单。
7.确保撤销过多的管理特权
描述
关于PostgreSQL管理SQL命令,仅超级用户应具有
特权提升。 PostgreSQL常规或应用程序用户不应具备此能力
创建角色,创建新数据库,管理复制或执行任何其他操作
被视为特权。 通常,普通用户只应被授予
与管理应用程序相对应的特权:
?DDL(创建表,创建视图,创建索引等)
?DML(选择,插入,更新,删除)
此外,为DDL和DML创建单独的角色已经成为最佳实践。 给定一个
名为“工资单”的应用程序,将创建以下用户:
?payroll_owner
?payroll_user
DML特权仅授予“ payroll_owner”帐户,而DML
特权将仅授予“ payroll_user”帐户。 这样可以防止意外
通过作为应用程序运行的应用程序代码创建/更改/删除数据库对象
“ payroll_user”帐户
加固建议
1.进入postgresql数据库,执行select usename from pg_user;,查看用户
2.执行\du 用户名;,分别查看用户权限,要求除超级用户,审计员,管理员外,尽可能的降低普通用户的权限
3.确保只有一个超级用户(例:postgres),普通用户的权限应比超级用户更低
4.找到您需要限制的用户(username),执行以下一条或多条命令
8.禁止以root用户直接启动数据库
描述
以postgres用户启动,降低数据库在系统中的权限占比
加固建议
建议以postgres用户启动
9.建议修改数据库的默认端口
描述
避免使用熟知的端口,降低被初级扫描的风险
加固建议
在配置文件(postgresql.conf)中修改端口 如:
port = 5433
修改后连接时也需更改对应端口
10.确保文件权限掩码正确
描述
始终使用默认权限集创建文件。文件权限可以是
通过应用称为umask的权限掩码进行限制。 Postgres用户帐户
应该使用umask 077拒绝对除所有者以外的所有用户帐户的文件访问。
加固建议
whoami
postgres
$ cd ~
$ ls -ld .{bash_profile,profile,bashrc}
$ echo "umask 077" >> .bash_profile
$ source .bash_profile
$ umask
0077
如上述示例,在~/.bash_profile, ~/.profile , ~/.bashrc的任意一个文件末尾添加umask 077并执行 source ~/.bash_profile | ~/.profile | ~/.bashrc使其生效在postgres用户下输入umask查看返回值验证,弱返回值为077或0077,则符合要求