游乐游手机版
首页/数据库/文章详情

PostgreSQL密码复杂度验证与有效期完整代码示例

时间:2026-06-10 07:04
PostgreSQL通过预加载passwordcheck模块实现密码复杂度,使用VALIDUNTIL子句设置用户有效期,修改pg_hba conf文件限制监听地址。这三项基础配置可满足等保测评等安全合规要求,有效保障数据库安全。

前言

在数据库安全领域,密码复杂度一直是个绕不开的话题——尤其是面对等保测评这类合规要求的时候。很多团队都会遇到一个尴尬:明明配了强密码策略,结果审计一来,还是发现密码太简单。其实解决思路并不复杂,PostgreSQL自带的passwordcheck模块就能胜任这个任务,配置起来也相当轻量。

启用密码复杂度验证

首先,找到PostgreSQL安装目录下的postgresql.conf文件,这个文件通常位于/etc/postgresql/版本号/main/或用户自定义的数据目录中。用你顺手的编辑器打开它:

vim postgresql.conf

在配置文件中找到shared_preload_libraries这一行,如果没有就手动添加。将passwordcheck模块加入预加载库列表:

shared_preload_libraries = 'passwordcheck'

保存后,重启PostgreSQL服务让配置生效:

systemctl restart postgresql

怎么确认它真的生效了?很简单,试着创建一个密码过于简单的用户:

CREATE USER test_pwck WITH PASSWORD '123';

如果看到类似“密码不符合复杂度要求”的错误提示,那就说明配置成功了。下面这张图就是验证时的典型提示界面:

修改用户有效期

密码复杂度搞定之后,另一个常见的需求是给用户设置有效期——比如临时账号或者外包人员的账号,到期自动失效。PostgreSQL通过VALID UNTIL子句来实现:

-- 修改用户有效期
ALTER ROLE test_val VALID UNTIL '2024-09-01';

想知道用户究竟什么时候过期?查询系统视图pg_user就能看到:

select * from pg_user

结果里会有一列valuntil,显示的就是每个用户的有效期截止时间。下面这张截图展示了典型的查询结果:

postgresql密码复杂度验证和有效期完整代码示例

修改监听IP地址

最后,补充一个实际运维中常用的操作——限制数据库的监听地址。默认情况下PostgreSQL只监听本地回环地址,如果需要让其他服务器(比如应用服务器)连接,就要修改pg_hba.conf文件。同样先编辑它:

vim pg_hba.conf

在文件中添加类似下面的条目,指定允许访问的IP网段和认证方式:

host    all             all             172.16.10.0/24          md5
host    all             all             192.168.4.0/24          md5

配置完成后,记得重启或重载配置文件。下图是pg_hba.conf中新增规则后的示例:

总结

密码复杂度、用户有效期、监听地址限制——这三块基本上是PostgreSQL安全配置的入门三件套。密码复杂度靠passwordcheck模块一把梭,有效期通过VALID UNTIL精确控制,而监听IP的授权则靠pg_hba.conf来把关。组合使用,基本能应对大多数等保场景。当然,真实环境里可能还要考虑SSL加密、审计日志等更深入的机制,但先把这些基础打牢,后面的路就顺畅多了。

来源:https://www.jb51.net/database/365375me4.htm
上一篇MySQL中外键知识全面详解与实战应用总结 下一篇MySQL数据库安全脚本mysql_secure_installation详细执行方式与操作指南
本站内容用于信息整理与展示,如有侵权或内容问题请及时联系处理。

相关推荐

补充同频道和同主题内容,方便继续浏览更多相关内容。

同类最新

继续查看同栏目最近更新的文章。

更多
金仓数据库逻辑备份实战:全库导出与模式替换全流程
数据库 · 2026-07-03

金仓数据库逻辑备份实战:全库导出与模式替换全流程

在长期的运维实践中,我越来越体会到,备份就像一份保险——平时看似无用,但关键时刻却是唯一的救命稻草。逻辑备份看似简单,可真正执行恢复时,各种陷阱接连浮现:表名大小写不一致、Schema 未正确切换、Owner 属性未同步修改……任何一个环节处理不当,最终恢复出的数据库就会与预期相去甚远。 本文将深入

金仓数据库sys_rman物理备份全流程演练与误覆盖恢复
数据库 · 2026-07-03

金仓数据库sys_rman物理备份全流程演练与误覆盖恢复

干运维这行,逻辑备份和物理备份我都接触过,但说句实在话,真正能在生产环境里扛住事儿的,还得是物理备份。逻辑备份导出的是 SQL 语句,数据量一大,那速度慢得让人抓狂,而且最关键的是,它没法做时间点恢复。物理备份不一样,它直接拷贝数据文件,再配上 WAL 归档日志,想恢复到过去哪一秒都行,这是它最硬核

Windows下将MySQL注册为系统自启服务教程
数据库 · 2026-07-03

Windows下将MySQL注册为系统自启服务教程

先说一个关键前提:务必以管理员身份运行终端,否则 mysqld --install 这条命令几乎不可能成功。问题不在于命令写错,而是 Windows 系统的用户账户控制(UAC)机制会在中途拦截——在普通 CMD 或 PowerShell 窗口执行这条命令,要么直接提示 Access is deni

Mac版Navicat中快速对比两个数据库的表结构异同
数据库 · 2026-07-03

Mac版Navicat中快速对比两个数据库的表结构异同

直接说结论:Mac 版 Navicat 和 Windows 版在表结构比对逻辑上完全一致。但默认配置下,它确实无法承受“全库一键比对上万张表”的压力。要想避免卡死、内存溢出、进度条永远停在 0%,你必须手动将表分批处理,或者利用前缀过滤来控制扫描范围。 为什么 Mac 上点击「结构同步」后界面会卡住

MySQL中UNION操作推荐用UNION ALL的原因
数据库 · 2026-07-03

MySQL中UNION操作推荐用UNION ALL的原因

MySQL中UNION与UNION ALL性能对比:别再被“保险”迷惑,差距远超预期 先给出核心结论:UNION ALL 的性能通常比 UNION 高出不止一个数量级。原因在于,UNION 在合并结果集后会自动触发去重操作,这往往伴随着隐式排序,进而产生临时表和文件排序。而 UNION ALL 则直