| 토토 사이트 순위 9.3.25 문서화 | ||||
|---|---|---|---|---|
| PostgreSQL : 문서 : 9.3 : 토토 연결 매개 변수 조회 | PostgreSQL : 문서 : 9.3 : LIBPQ -C 토토 커뮤니티 | 31 장.libpq-C 라이브러리 | 토토 커뮤니티 : 문서 : 9.3 : 스레드 프로그램의 동작 | |
토토 사이트 순위기본 지원이 있습니다 사용을 위해SSL연결 보안 증가를 위해 클라이언트/서버 통신을 암호화합니다. 보다섹션 17.9에 대한 자세한 내용 서버 측SSL기능.
libpq시스템 전체를 읽습니다OpenSSL구성 파일. 에 의해 기본값,이 파일은입니다.OpenSSL.CNFOpenSSL 버전 -D. 이 기본값은 재정의 할 수 있습니다 환경 변수를 설정하여OpenSSL_CONF원하는 구성 파일의 이름으로.
기본적으로토토 사이트 순위그렇지 않습니다 서버 인증서 확인을 수행하십시오. 이것은 그것을 의미합니다 서버 아이덴티티를 스푸핑 할 수 있습니다 (예 : DNS 레코드 수정 또는 서버 IP 주소를 인수하여) 고객이 알지 못합니다. 스푸핑을 방지하기 위해 클라이언트는 체인을 통해 서버의 신원을 확인할 수 있어야합니다. 신뢰하다. 뿌리를 배치하여 신뢰 체인이 확립됩니다. (자체 서명) 인증 기관 (CA) 하나의 컴퓨터와 리프에 대한 인증서 자격증서명by the 다른 컴퓨터의 루트 인증서. 를 사용하는 것도 가능합니다."중간"인증서 루트 인증서 및 서명 잎 증명서에 의해 서명되었습니다.
클라이언트가 서버의 ID를 확인할 수 있도록 클라이언트의 루트 인증서 및 서명 된 잎 증명서 서버의 루트 인증서. 서버가 확인할 수 있도록합니다 클라이언트의 ID, 서버에 루트 인증서를 배치 그리고 루트 인증서에서 서명 한 잎 증명서 고객. 하나 이상의 중간 인증서 (일반적으로 저장 잎 증명서)는 잎 증명서를 연결하는 데 사용될 수도 있습니다. 루트 인증서에.
일단 신뢰 체인이 설립되면 두 가지 방법이 있습니다. 클라이언트가 서버에서 보낸 리프 인증서를 검증 할 수 있습니다. 매개 변수 인 경우sslmodeverify-ca, libpq 서버는 인증서 체인을 클라이언트에 저장된 루트 인증서. 만약에sslmode로 설정되었습니다verify-full, libpq will또한서버 호스트 이름을 확인하십시오 서버 인증서에 저장된 이름과 일치합니다. SSL 서버 인증서를 확인할 수없는 경우 연결이 실패합니다.verify-full대부분은 권장됩니다 보안에 민감한 환경.
inverify-full모드,CN(공통 이름) 인증서의 속성입니다 호스트 이름과 일치합니다. 인 경우CN속성은 별표로 시작합니다 (*), IT 와일드 카드로 취급되며 모든 문자와 일치합니다제외a dot (.). 이것은 인증서가 일치하지 않음을 의미합니다 하위 도메인. 대신 IP 주소를 사용하여 연결이 이루어지면 호스트 이름의 IP 주소는 일치합니다 (아무것도하지 않고 DNS 조회).
서버 인증서 확인을 허용하려면 하나 이상의 루트 인증서는 파일에 배치해야합니다~/.토토 사이트 순위/root.crt사용자의 집에서 예배 규칙서. (Microsoft Windows에서 파일은 이름이입니다.%appdata%\ 토토 사이트 순위 \ root.crt.) 중간 인증서가 필요한 경우 파일에 추가되어야합니다. 서버에서 보낸 인증서 체인을 루트에 연결 클라이언트에 저장된 인증서.
인증서 취소 목록 (CRL) 항목도 확인됩니다 파일~/.토토 사이트 순위/root.crl존재합니다 (%appdata%\ 토토 사이트 순위 \ root.crlon Microsoft Windows).
루트 인증서 파일 및 CRL의 위치는 연결 매개 변수를 설정하여 변경SSLROOTCERT및SSLCRL또는 환경 변수PGSSLROOTCERTandpgsslcrl.
참고 :이전 버전과 거꾸로 호환됩니다 root ca 파일이 존재하는 경우 토토 사이트 순위,의 동작sslmode=요구와 동일verify-ca, 의미를 의미합니다 서버 인증서는 CA에 대해 검증됩니다. 이것에 의존합니다 행동은 낙담하고 인증서가 필요한 응용 프로그램입니다 유효성 검사는 항상 사용해야합니다verify-ca또는verify-full.
서버가 클라이언트의 신원을 확인하려고 시도하는 경우 고객의 잎 증명서 요청libpq저장된 인증서를 보냅니다 파일~/.토토 사이트 순위/토토 사이트 순위.crtin 사용자의 홈 디렉토리. 인증서는 루트에 체인해야합니다 서버에서 신뢰하는 인증서. 일치하는 개인 키 파일~/.토토 사이트 순위/토토 사이트 순위.key현재의. 개인 키 파일은 세계에 대한 액세스를 허용하지 않아야합니다. 그룹; 명령으로 이것을 달성CHMOD 0600 ~/.토토 사이트 순위/토토 사이트 순위.key. Microsoft Windows 에서이 파일 이름이%appdata%\ 토토 사이트 순위 \ 토토 사이트 순위.crt및%appdata%\ 토토 사이트 순위 \ 토토 사이트 순위.key디렉토리가 추정되면 특별 권한을 확인하지 않습니다 안전한. 인증서 및 키 파일의 위치는 연결 매개 변수로 재정의SSLCERTandsslkey또는 환경 변수pgsslcertandpgsslkey.
첫 번째 인증서토토 사이트 순위.crt고객의 인증서 여야합니다 고객의 개인 키와 일치해야하기 때문에."중간"인증서는 선택적으로 될 수 있습니다 파일에 추가되었습니다 - 그렇게하면 스토리지가 필요하지 않습니다. 서버의 중간 인증서root.crt파일.
인증서 작성에 대한 지침은 참조섹션 17.9.3.
다른 값sslmode매개 변수는 다른 수준의 보호를 제공합니다. SSL이 제공 할 수 있습니다 세 가지 유형의 공격에 대한 보호 :
제 3자가 클라이언트와 서버는 두 연결 정보를 모두 읽을 수 있습니다. (사용자 이름 및 비밀번호 포함) 및 전달 된 데이터.SSL암호화를 사용하여 방지합니다 이것.
제 3자가 클라이언트 및 서버, 서버 인 척 할 수 있으므로 데이터보고 및 수정암호화. 그런 다음 제 3자가 전달할 수 있습니다 원래 서버에 대한 연결 정보 및 데이터를 만들어 이 공격을 감지하는 것은 불가능합니다. 이를 수행하는 일반적인 벡터에는 포함됩니다 DNS 중독 및 주소 하이재킹, 고객이 지시됩니다. 의도 한 것과는 다른 서버에. 다른 몇 가지가 있습니다 이것을 달성 할 수있는 공격 방법.SSL인증서 검증을 사용하여 방지합니다 이것은 서버를 클라이언트에게 인증함으로써.
제 3자가 승인 된 고객 인 척 할 수 있다면 액세스 할 수없는 데이터에 액세스하십시오. 일반적으로 이것은 할 수 있습니다 불안한 암호 관리를 통해 발생합니다.SSL이를 방지하기 위해 클라이언트 인증서를 사용합니다. 유효한 인증서 보유자 만 액세스 할 수 있는지 확인함으로써 서버.
안전한 보안에 연결하려면 SSL 사용법이 구성둘 다 클라이언트 그리고 서버연결하기 전에. 만이라면 서버에서 구성된 클라이언트는 민감한 것을 보낼 수 있습니다. 정보 (예 : 비밀번호)는 서버를 알기 전에 높은 보안이 필요합니다. LIBPQ에서는 안전한 연결을 보장 할 수 있습니다 를 설정하여sslmode매개 변수 toverify-full또는verify-ca, 시스템에 루트를 제공합니다 확인할 인증서. 이것은 사용과 유사합니다https url암호화 된 웹 브라우징의 경우.
서버가 인증되면 클라이언트가 통과 할 수 있습니다. 민감한 데이터. 이것은이 시점까지 클라이언트를 의미합니다 인증서가 사용되는지 알 필요가 없습니다. 인증, 서버에서만 안전하게 지정하는 것이 안전합니다. 구성.
allSSL옵션 운반 암호화 및 키 exchange의 형태로 오버 헤드가 있으므로 성능과 보안 사이에 이루어져야하는 트레이드 오프.테이블 31-1다른 위험을 설명sslmode값은 보호 및 어떤 진술을 보호합니다 그들은 보안과 오버 헤드에 대해 만듭니다.
표 31-1. SSL 모드 설명
| sslmode | 도청 보호 | MITM보호 | 성명서 |
|---|---|---|---|
| 비활성화 | 아니오 | 아니오 | 나는 보안에 관심이 없으며 지불하고 싶지 않습니다. 암호화 오버 헤드. |
| 허용 | 어쩌면 | 아니요 | 나는 보안에 관심이 없지만 오버 헤드를 지불 할 것입니다. 서버가 주장하는 경우 암호화. |
| 선호 | 어쩌면 | 아니오 | 나는 암호화에 관심이 없지만 오버 헤드를 지불하고 싶습니다. 서버가 지원하는 경우 암호화. |
| 요구 | 예 | 아니오 | 내 데이터가 암호화되기를 원하고 오버 헤드를 수락합니다. 나 네트워크가 내가 항상 내가 원하는 서버. |
| verify-ca | 예 | CA에 의존합니다-policy | 데이터를 암호화하고 오버 헤드를 수락합니다. 나는 원한다 내가 신뢰하는 서버에 연결해야합니다. |
| verify-full | 예 | 예 | 데이터를 암호화하고 오버 헤드를 수락합니다. 나는 원한다 내가 신뢰하는 서버에 연결하고 그것이 내가 지정. |
의 차이verify-caandverify-full의 정책에 따라 다릅니다 뿌리CA. 대중 인 경우CA사용됩니다.verify-ca서버에 연결할 수 있습니다.다른 사람등록CA. 이것에서 사례,verify-full항상 사용해야합니다. 현지인 경우CA또는 a 자체 서명 인증서, 사용verify-ca종종 충분한 보호를 제공합니다.
기본값sslmodeis선호. 테이블에 표시된 바와 같이, 이것 보안 관점에서 의미가 없으며 약속 만 가능하면 성능 오버 헤드. 그것은 만 제공됩니다 후진 호환성에 대한 기본값은 권장되지 않습니다 보안 배포.
표 31-2고객.
표 31-2. libpq/client ssl 파일 사용
| 파일 | 내용 | 효과 |
|---|---|---|
| ~/.토토 사이트 순위/토토 사이트 순위.crt | 클라이언트 인증서 | 서버 요청 |
| ~/.토토 사이트 순위/토토 사이트 순위.key | 클라이언트 개인 키 | 소유자가 보낸 고객 인증서를 증명합니다. 표시하지 않습니다 인증서 소유자는 신뢰할 수 있습니다 |
| ~/.토토 사이트 순위/root.crt | 신뢰할 수있는 인증서 당국 | 서버 인증서가 신뢰할 수있는 사람에 의해 서명되었는지 확인합니다 인증 기관 |
| ~/.토토 사이트 순위/root.crl | 인증서 당국이 취소 한 인증서 | 서버 인증서는이 목록에 있지 않아야합니다 |
응용 프로그램이 초기화되는 경우libssl및/또는libcrypto라이브러리 및libpqSSL지원, 전화해야PQINITOPENSSLlibpqthelibssl및/또는libcrypto라이브러리가 있습니다
응용 프로그램에 의해 초기화되어libpq또한 초기화되지 않습니다
도서관. 보다http : //h41379.www4.hpe.com/doc/83final/ba554_90007/ch04.htmlSSL API에 대한 자세한 내용
PQINITOPENSSL응용 프로그램에서 어떤 보안 라이브러리를 선택할 수 있습니다 초기화.
void pqinitopenssl (int do_ssl, int do_crypto);
언제do_ssl는 0이 아닌libpq초기화OpenSSL처음 개방하기 전 라이브러리 a
데이터베이스 연결. 언제do_cryptois
0이 아닌libcrypto라이브러리가 될 것입니다
초기화. 기본적으로 (ifPQINITOPENSSL호출되지 않음), 두 라이브러리는 두 라이브러리입니다
초기화. SSL 지원이 컴파일되지 않으면이 기능은 다음과 같습니다.
존재하지만 아무것도하지 않습니다.
응용 프로그램을 사용하고 초기화하는 경우OpenSSL또는 그 기본libcrypto도서관, 당신필수이 기능을 0으로 호출하십시오 데이터베이스를 처음 열기 전에 적절한 매개 변수의 경우 연결. 또한 해당 초기화를 수행했는지 확인하십시오 데이터베이스 연결을 열기 전에.
pqinitssl응용 프로그램이 어떤 보안 라이브러리를 선택할 수 있도록합니다 초기화.
void pqinitssl (int do_ssl);
이 기능은와 같습니다.pqinitopenssl (do_ssl, do_ssl). 충분합니다 두 가지를 초기화하거나 두 가지를 초기화하는 응용 프로그램OpenSSL및libcrypto.
pqinitssl이후에 존재했습니다토토 사이트 순위8.0, whilePQINITOPENSSL에 추가되었습니다토토 사이트 순위8.4,pqinitssl응용 프로그램에 바람직 할 수 있습니다
이전 버전의에서 작업해야합니다.libpq.
| PostgreSQL : 문서 : 9.3 : 토토 연결 매개 변수 조회 | 배트맨 토토 사이트 순위 : 문서 : 9.3 : 배트맨 토토 9.3.25 문서화 | 다음 |
| LDAP 연결 조회 매개 변수 | PostgreSQL : 문서 : 9.3 : LIBPQ -C 토토 커뮤니티 | 스레드의 동작 프로그램 |