PgSQL-安全加固实践-如何设置非全零监听

PgSQL-安全加固实践-如何设置非全零监听

1、介绍

PgSQL在启动前需要配置listen_addresses 配置项,该配置项表示允许PgSQL服务监听程序绑定的IP。我们知道一个host上可以有多个网卡,每个网卡可以绑定多个IP,该参数就是控制PgSQL服务绑定在哪个或者哪几个IP上。即控制服务使用哪个网络接口进行监听连接请求。对于网络接口而言,这样可以有效阻止大量恶意重复的连接。

2、问题

在高可用环境中,通常使用虚拟IP(VIP)作为向外服务的监听IP,当主机挂掉无法提供服务时,会动态将这个VIP切换到备机上,即备机绑定该IP,通过该监听IP向外提供服务。对于用户来说,是无感的,它仍旧使用该VIP来连接服务。VIP并不是在PgSQL启动时就已经绑定到本机网卡的。

PgSQL服务为使用VIP作为监听连接的IP,需要配置listen_addresses为"*"或者"0.0.0.0"即全链路监听。即监听本机所有网卡上的IP,这也就意味着易遭受恶意连接的风险。所以,需要进行安全加固,避免全零监听。

那么,PgSQL如何做到提前绑定VIP作为监听IP,即绑定一个本机不存在的IP呢?

3、PgSQL监听连接机制

由函数StreamServerPort函数完成绑定并监听的操作。SO_REUSEADDR标签表示允许同一个端口绑定多个不同的IP,即PgSQL的listen_addresses可以配置成多个IP形式:

listen_addresses= '10.200.89.123,10.200.89.124'

但是,当绑定一个非本地IP,即网卡没有绑定的IP时,bind函数会返回-1,即bind失败,报错errno为99:Cannot assign requested address

4、绑定非本地IP

1)需修改操作系统的配置/etc/sysctl.conf:

net.ipv4.ip_nonlocal_bind=1

该配置项默认是0,表示不允许服务绑定一个不存在的IP

2)重启机器。也可以不重启机器,通过命令sysctl -p使修改后的sysctl.conf生效

3)此时,PgSQL配置listen_addresses为VIP,即本机不存在的IP后,可以重启服务成功绑定该IP,并监听成功。

相关推荐
CHANG_THE_WORLD1 小时前
TCP 三次握手彻底解析:SYN、ACK、SEQ、确认号与状态迁移
网络·网络协议·tcp/ip
csdn_aspnet1 小时前
GitHub Actions自动化运维实战,用CI/CD流水线实现测试、部署、安全扫描一体化
运维·安全·ci/cd·自动化·github
DLYSB_3 小时前
基于 HTTP API 与 Modbus 协议的多源监控声光语音联动告警系统设计与实现
网络·网络协议·http·报警灯
ChainSafeAI0033 小时前
以太坊利用AI挖掘漏洞成功发现安全缺陷,称人工审核仍不可替代
人工智能·安全
Bobolink_3 小时前
手机端和电脑端的网络环境配置有什么不同?
网络·智能手机·电脑·网络环境
世***y3 小时前
开展夏季安全大检查 排隐患夯实安全基础
安全
一键生成网站4 小时前
AI原型工具企业需求分析:私有化部署与安全协作选购指南
人工智能·安全·需求分析·
星恒讯工业路由器4 小时前
三大工业以太网协议选型对比
网络·物联网·ethercat·profinet·ethernet/ip·工业以太网协议
春卷同学4 小时前
HarmonyOS掌上记账APP开发实践第25篇:Image 组件高级用法 — 资源引用、网络图片与首字符占位方案
网络·华为·harmonyos
mounter6254 小时前
从内存隔离到运行时防线:透视 Linux 内核安全强化的博弈与演进
linux·网络·安全·linux kernel·kernel