PG密码安全

PostgreSQL 错误日志文件中的密码

创新互联是专业的岚皋网站建设公司，岚皋接单;提供成都网站制作、成都网站建设,网页设计,网站设计,建网站,PHP网站建设等专业做网站服务;采用PHP框架,可快速的进行岚皋网站开发网页制作和功能扩展;专业做搜索引擎喜爱的网站,专业的做网站团队,希望更多企业前来合作!

大家都不希望在错误日志文件中出现用户密码。PG使用SQL查询管理用户账户，包括密码。如果启用log_statement，log_min_error_statement为log，那么用户密码就有可能出现在server log中。

一种解决方法：发起查询前手动对密码进行加密，但仍会被error机制探测到。

SET client_min_messages = 'log';

SET log_statement = 'all';

\ password postgres

Enter new password:

Enter it again:

LOG:  statement: show password_encryption

LOG:  statement: ALTER USERpostgres PASSWORD 'md567429efea5606f58dff8f67e3e2ad490'

在psql客户端执行： show password_encryption可以查看使用哪种加密方式，是md5还是 scram-sha-256 。psql将密码hash加密后再发起alter命令。并不是说在日志文件中不会再出现密码了。最明智的办法是将log_min_error_statement设置为panic以便阻止将错误查询记录到日志文件中。另外一个安全方式：使用syslog将Log发送到安全的服务器上。