Debian下PostgreSQL安全设置指南

1. 更新系统
在安装PostgreSQL前，务必将Debian系统更新至最新版本，以修复已知安全漏洞并确保软件兼容性。执行以下命令：
sudo apt update && sudo apt upgrade

2. 安装PostgreSQL及附加组件
通过Debian官方仓库安装PostgreSQL服务器及常用扩展（如postgresql-contrib提供额外工具）：
sudo apt install postgresql postgresql-contrib

3. 强化PostgreSQL初始用户安全
默认的postgres超级用户无初始密码，需立即设置强密码（包含大小写字母、数字和特殊字符）：
sudo -u postgres psql -c "ALTER USER postgres WITH PASSWORD 'YourStrongPassword123!'";
避免使用默认用户名（如postgres）作为应用连接账户，降低被扫描攻击的风险。

4. 配置PostgreSQL监听与连接限制
编辑主配置文件（路径随PostgreSQL版本变化，如/etc/postgresql/15/main/postgresql.conf），调整以下参数：

• 限制监听地址：将listen_addresses从'*'（允许所有IP）改为'localhost'（仅本地连接）或特定IP（如'192.168.1.100'），减少远程暴露风险；
• 修改默认端口：将port从5432改为非标准端口（如5433），降低自动化扫描攻击概率。
  修改后保存文件。

5. 细化客户端认证规则（pg_hba.conf）
编辑认证配置文件（路径如/etc/postgresql/15/main/pg_hba.conf），采用“最小权限”原则配置连接验证：

• 拒绝所有远程连接：默认添加host all all 0.0.0.0/0 reject；
• 允许本地安全连接：host all all 127.0.0.1/32 md5（本地连接需密码）；
• 可选：允许特定IP远程连接：如hostssl all all 192.168.1.0/24 md5（仅允许192.168.1.x网段通过SSL加密连接）。
  修改后执行sudo systemctl reload postgresql使配置生效。

6. 启用SSL/TLS加密传输
为防止数据在传输过程中被窃取，需配置SSL加密：

• 生成证书与私钥：

  sudo mkdir -p /etc/postgresql/ssl
  sudo openssl req -new -x509 -days 365 -nodes -text -subj "/CN=postgres" -out /etc/postgresql/ssl/server.crt -keyout /etc/postgresql/ssl/server.key
  sudo chmod 600 /etc/postgresql/ssl/server.key  # 私钥必须严格保密
  

• 配置PostgreSQL使用SSL：编辑postgresql.conf，添加：
  ssl = on
ssl_cert_file = '/etc/postgresql/ssl/server.crt'
ssl_key_file = '/etc/postgresql/ssl/server.key'
• 强制远程连接使用SSL：在pg_hba.conf中，将远程连接的METHOD改为cert（如hostssl all all 0.0.0.0/0 cert），确保证书验证。

7. 精细化权限管理
遵循“最小权限原则”，避免过度授权：

• 创建专用角色与用户：

  -- 创建角色（可继承）
  CREATE ROLE app_user WITH LOGIN PASSWORD 'AppPass123!' NOCREATEDB NOCREATEROLE;
  -- 创建数据库并分配所有权
  CREATE DATABASE my_app OWNER app_user;
  

• 分配最小必要权限：

  -- 授予数据库级权限
  GRANT CONNECT ON DATABASE my_app TO app_user;
  GRANT USAGE ON SCHEMA public TO app_user;
  -- 授予表级权限（仅SELECT/INSERT，禁止DELETE/UPDATE）
  GRANT SELECT, INSERT ON ALL TABLES IN SCHEMA public TO app_user;
  -- 授予序列级权限（用于自增字段）
  GRANT USAGE ON ALL SEQUENCES IN SCHEMA public TO app_user;
  

• 权限回收：若需撤销权限，使用REVOKE命令（如REVOKE INSERT ON my_table FROM app_user;）。

8. 启用审计日志
通过日志记录数据库活动，便于追踪异常行为：
编辑postgresql.conf，添加以下参数：

log_statement = 'all'  # 记录所有SQL语句（生产环境可调整为'dml'或'ddl'）
log_connections = true  # 记录连接事件
log_disconnections = true  # 记录断开事件
log_directory = 'pg_log'  # 日志目录（默认已存在）
log_filename = 'postgresql-%Y-%m-%d_%H%M%S.log'  # 按日期时间命名日志文件

修改后重启服务：sudo systemctl restart postgresql。

9. 定期备份与更新

• 备份数据库：使用pg_dump工具备份（如每日增量备份+每周全量备份）：

  sudo -u postgres pg_dump -U app_user -F t -f /backups/my_app_backup.tar my_app
  

• 更新PostgreSQL：定期执行sudo apt update && sudo apt upgrade，及时修复安全漏洞。

10. 其他安全措施

• 禁用默认数据库：若无需使用postgres数据库，可执行DROP DATABASE postgres;（需提前创建其他数据库）；
• 限制连接数：在postgresql.conf中设置max_connections（如max_connections = 50），防止资源耗尽攻击；
• 使用防火墙：通过UFW允许特定IP访问PostgreSQL端口（如sudo ufw allow from 192.168.1.0/24 to any port 5433/tcp）。