PgSQL-安全加固实践-如何设置非全零监听

PgSQL-安全加固实践-如何设置非全零监听

1、介绍

PgSQL在启动前需要配置listen_addresses 配置项，该配置项表示允许PgSQL服务监听程序绑定的IP。我们知道一个host上可以有多个网卡，每个网卡可以绑定多个IP，该参数就是控制PgSQL服务绑定在哪个或者哪几个IP上。即控制服务使用哪个网络接口进行监听连接请求。对于网络接口而言，这样可以有效阻止大量恶意重复的连接。

2、问题

在高可用环境中，通常使用虚拟IP（VIP）作为向外服务的监听IP，当主机挂掉无法提供服务时，会动态将这个VIP切换到备机上，即备机绑定该IP，通过该监听IP向外提供服务。对于用户来说，是无感的，它仍旧使用该VIP来连接服务。VIP并不是在PgSQL启动时就已经绑定到本机网卡的。

PgSQL服务为使用VIP作为监听连接的IP，需要配置listen_addresses为"*"或者"0.0.0.0"即全链路监听。即监听本机所有网卡上的IP，这也就意味着易遭受恶意连接的风险。所以，需要进行安全加固，避免全零监听。

那么，PgSQL如何做到提前绑定VIP作为监听IP，即绑定一个本机不存在的IP呢？

3、PgSQL监听连接机制

由函数StreamServerPort函数完成绑定并监听的操作。SO_REUSEADDR标签表示允许同一个端口绑定多个不同的IP，即PgSQL的listen_addresses可以配置成多个IP形式：

listen_addresses= '10.200.89.123,10.200.89.124'

但是，当绑定一个非本地IP，即网卡没有绑定的IP时，bind函数会返回-1，即bind失败，报错errno为99：Cannot assign requested address

4、绑定非本地IP

1）需修改操作系统的配置/etc/sysctl.conf:

net.ipv4.ip_nonlocal_bind=1

该配置项默认是0，表示不允许服务绑定一个不存在的IP

2）重启机器。也可以不重启机器，通过命令sysctl -p使修改后的sysctl.conf生效

3）此时，PgSQL配置listen_addresses为VIP，即本机不存在的IP后，可以重启服务成功绑定该IP，并监听成功。