| 윈 토토 : 문서 : 9.4 : 윈 토토 | |||
|---|---|---|---|
| PostgreSQL : 문서 : 9.4 : PostgreSQL 클러스터 토토 베이 | 젠 토토 : 문서 : 9.4 : 서버 설정 및 작동 | 17 장. 젠 토토 설정 및 작동 | PostgreSQL : 문서 : 9.4 : 토토 베이 옵션 |
젠 토토가 실행되는 동안 악성 사용자가 일반 데이터베이스 젠 토토를 대신 할 수 없습니다. 그러나 젠 토토가 다운되면 로컬 사용자가 자체 젠 토토를 시작하여 일반 젠 토토를 스푸핑 할 수 있습니다. 스푸핑 젠 토토는 클라이언트가 보낸 비밀번호와 쿼리를 읽을 수 있지만이므로 데이터를 반환 할 수 없습니다.pgdata디렉토리는 디렉토리 권한으로 인해 여전히 안전합니다. 모든 사용자가 데이터베이스 젠 토토를 시작할 수 있으므로 스푸핑이 가능합니다. 클라이언트는 특별히 구성되지 않으면 잘못된 젠 토토를 식별 할 수 없습니다.
스푸핑을 방지하는 가장 간단한 방법Local연결은 Unix 도메인 소켓 디렉토리를 사용하는 것입니다 (unix_socket_directories) 신뢰할 수있는 로컬 사용자에 대해서만 쓰기 권한이 있습니다. 이렇게하면 악의적 인 사용자가 해당 디렉토리에서 자신의 소켓 파일을 생성하지 못하게됩니다. 일부 응용 프로그램이 여전히 참조 할 수 있다고 우려하는 경우/tmp소켓 파일의 경우 스푸핑에 취약한 경우 운영 체제 시작 중에 상징적 링크를 만듭니다/tmp/.S.pgsql.5432재배치 된 소켓 파일을 가리 킵니다. 또한 수정해야 할 수도 있습니다/tmp기호 링크 제거를 방지하기위한 스크립트 정리.
TCP 연결의 스푸핑을 방지하려면 가장 좋은 솔루션은 SSL 인증서를 사용하고 클라이언트가 젠 토토의 인증서를 확인하는지 확인하는 것입니다. 그렇게하려면 젠 토토는 수락하도록 구성되어야합니다hostsslConnections (와이즈 토토 PostgreSQL : 문서 : 9.4 : PG_HBA.conf 파일) SSL 키 및 인증서 파일이 있습니다 (PostgreSQL : 문서 : 9.4 : SSL과 TCP/IP 무지개 토토을 보호합니다). TCP 클라이언트는 사용을 사용해야합니다sslmode = verify-ca또는verify-full그리고 적절한 루트 인증서 파일이 설치되어 있습니다 (섹션 31.18.1).