Forcer les clients PostgreSQL à utiliser SSL?

29

J'ai configuré ssl = ondans postgresql.conf(et installé un certificat etcetera). Cela garantit-il que tous les clients se connecteront toujours via SSL?

(C'est-à-dire ssl = onqu'il est impossible de se connecter sans cryptage SSL?)

Existe-t-il d'autres moyens de garantir que tous les clients se connectent toujours via SSL / TLS?

Cordialement, KajMagnus

postgresql KajMagnus
la source

27

ssl = on active uniquement la possibilité d'utiliser SSL.

Pour vous assurer que tous les clients utilisent SSL, ajoutez des hostssllignes pg_hba.conf, par exemple,

hostssl  all  all  0.0.0.0/0  md5

et supprimez toutes les hostlignes. (Eh bien, gardez peut-être ceux pour localhost.)

Peter Eisentraut
la source

J'ai configuré tous les paramètres dans postgresql.confet pg_hba.conf. Cependant, je peux toujours me connecter avec sslmode=disable. par exemple psql "sslmode = disable host = localhost dbname = test" Ai-je oublié quelque chose ici?

Andy Aldo

@AndyAldo Il faudrait voir toute la configuration pour analyser cela. C'est hors de portée ici.

Peter Eisentraut

13

Non, cela permet simplement d'utiliser SSL. Vous devez également apporter les modifications appropriées à votre fichier pg_hga.conf .

gsiems
la source

2

Oh, je dois avoir mal lu les documents: je pensais hostsslque le client devait fournir son propre certificat SSL, mais maintenant j'ai remarqué qu'il y a une certméthode d'authentification que je peux spécifier dans pg_hga.conf.

KajMagnus

(Merci, je voterai votre réponse plus tard quand j'aurai les 15 représentants requis.)

KajMagnus

Forcer les clients PostgreSQL à utiliser SSL?

Réponses: