当前位置: 首页 > news >正文

PostgreSQL的扩展 auth_delay

news 来源:原创 2025/6/5 12:33:11

PostgreSQL的扩展 auth_delay

auth_delay 是 PostgreSQL 提供的一个安全相关扩展,主要用于防止暴力破解攻击。它通过在认证失败后引入人为延迟来增加暴力破解的难度。

一、扩展基础

  • 功能:在认证失败后增加延迟
  • 目的:减缓暴力破解和字典攻击
  • 适用场景
    • 面向互联网开放的 PostgreSQL 服务
    • 有高安全要求的数据库环境
    • 多次认证失败后的防护

二、安装与配置

1. 安装方法

-- 安装扩展
CREATE EXTENSION auth_delay;-- 验证安装
SELECT * FROM pg_available_extensions WHERE name = 'auth_delay';

2. 配置参数

postgresql.conf 中设置:

# 认证失败后的延迟时间(毫秒)
auth_delay.milliseconds = 1000  # 默认1000ms(1秒)# 失败多少次后开始延迟(避免误伤合法用户)
auth_delay.failure_count = 3    # 默认3次

三、工作原理

  1. 触发条件

    • 客户端认证失败
    • 连续失败次数达到配置阈值

  2. 行为表现

    Client PostgreSQL auth_delay 认证请求(错误密码) 记录失败计数 延迟 milliseconds 毫秒 alt [失败次数 ≥ failure_count] 返回认证失败 Client PostgreSQL auth_delay

  3. 特点

    • 仅对失败认证延迟
    • 成功认证会重置失败计数器
    • 延迟在服务端进行,客户端无法绕过

四、使用示例

1. 基本配置

-- 修改配置后重载
ALTER SYSTEM SET auth_delay.milliseconds = 2000;
ALTER SYSTEM SET auth_delay.failure_count = 5;
SELECT pg_reload_conf();

2. 监控失败尝试

-- 查看当前失败计数(需要超级用户权限)
SELECT * FROM pg_stat_activity 
WHERE backend_type = 'client backend' 
AND state = 'failed';

五、性能与安全考量

优点

  • 显著增加暴力破解的时间成本
  • 配置简单,无需修改应用代码
  • 对合法用户影响有限(仅在多次失败后触发)

注意事项

  1. 连接池影响

    • 可能导致连接池耗尽
    • 建议配合连接超时设置:
      # postgresql.conf
authentication_timeout = 60s  # 认证超时时间

  2. 分布式攻击

    • 对分布式暴力破解效果有限
    • 应结合其他安全措施:
      # pg_hba.conf
host all all 192.168.1.0/24 scram-sha-256

  3. 合法用户影响

    • 可能影响忘记密码的合法用户
    • 建议设置合理的 failure_count

六、高级配置

1. 与 pg_hba 配合

# pg_hba.conf
# 对互联网访问强制使用auth_delay
host all all 0.0.0.0/0 scram-sha-256 auth_delay

2. 动态调整参数

-- 在攻击期间临时增加延迟
ALTER SYSTEM SET auth_delay.milliseconds = 5000;
SELECT pg_reload_conf();-- 攻击结束后恢复
ALTER SYSTEM SET auth_delay.milliseconds = 1000;
SELECT pg_reload_conf();

七、生产环境建议

  1. 推荐配置

    auth_delay.milliseconds = 3000  # 3秒延迟
auth_delay.failure_count = 5    # 5次失败后触发

  2. 监控设置

    # 监控认证失败日志
tail -f $PGDATA/log/postgresql-*.log | grep "authentication failed"

  3. 组合安全措施

    • 配合 fail2ban 自动封禁恶意IP
    • 使用证书认证提高安全性
    • 定期轮换数据库密码

八、限制与替代方案

当前限制

  1. 无法区分不同IP的失败尝试
  2. 不提供自动封禁功能
  3. 对分布式攻击防护有限

替代/补充方案

  1. fail2ban

    # fail2ban 配置示例
[postgresql]
enabled  = true
filter   = postgresql
action   = iptables[name=PostgreSQL, port=5432, protocol=tcp]
logpath  = /var/log/postgresql/postgresql-*.log
maxretry = 3

  2. pg_ident

    # pg_ident.conf
# 限制特定操作系统用户映射

  3. 网络层防护

    • 使用防火墙限制访问IP
    • 通过SSL证书认证

auth_delay 是 PostgreSQL 安全防护体系中的一个简单但有效的组件,特别适合作为防御暴力破解的基础措施。对于高安全要求的场景,建议将其与其他安全机制结合使用。

相关文章:

  • 【软件工程】可行性研究
  • NVIDIA DOCA 3.0:引领AI基础设施革命的引擎简析
  • 春秋云镜 Certify Writeup
  • Qt踩坑记录
  • 高性能分布式消息队列系统(二)
  • Java 调用第三方接口注意事项
  • 电力设备故障预测网关技术方案——基于EFISH-SCB-RK3588的国产化替代实践
  • 6.3 day 35
  • 吞咽与营养并重:进行性核上性麻痹的饮食之道
  • 倚光科技:Zernike自由曲面转菲涅尔,反射镜及透镜加工技术革新
  • redis的哨兵模式和Redis cluster
  • mapbox高阶,生成并加载等时图
  • 华为数据之道 精读——【173页】读书笔记【附全文阅读】
  • 基于大模型的短暂性脑缺血发作(TIA)全流程预测与干预系统技术方案
  • Apache Iceberg 如何实现分布式 ACID 事务:深度解析大数据时代的可靠数据管理
  • 智启未来:AI重构制造业供应链的五大革命性突破
  • Java基础 Day28 完结篇
  • 深入解析 MultipartFile:Spring 框架下的高效文件处理方案
  • 【笔记】使用Media Creation Tool给新主机装win10魔改iso
  • Spring @Value注解的依赖注入实现原理
  • 图片素材网站怎么做/seo综合查询是什么
  • 漳州做网站建设/百度手机app下载安装
  • 网站联盟的收益模式/英文谷歌seo
  • 做米业的企业网站/广告信息发布平台
  • 苏州高新区网站建设/搜索引擎排名
  • 一级做爰片a视频网站试看/百度网址大全怎么设为主页