PostgreSQL的扩展 passwordcheck

PostgreSQL的扩展 passwordcheck

passwordcheck 是 PostgreSQL 内置的一个密码复杂度检查扩展,用于强制实施基本的密码策略。

一、扩展概述

  • 功能:在创建或修改用户密码时检查密码复杂度
  • 目的:防止使用过于简单的密码
  • 适用版本:PostgreSQL 9.1+
  • 检查内容
    • 密码长度
    • 是否包含数字和字母
    • 是否与用户名相同
    • 基本字典检查

二、安装与启用

1. 安装方法

sql 复制代码
-- 安装扩展(需要超级用户权限)
CREATE EXTENSION passwordcheck;

-- 验证安装
SELECT * FROM pg_available_extensions WHERE name = 'passwordcheck';

2. 配置参数

postgresql.conf 中可配置:

ini 复制代码
# 最小密码长度(默认8)
passwordcheck.min_length = 10

# 是否要求混合大小写(默认off)
passwordcheck.mixed_case = on

# 是否要求数字(默认on)
passwordcheck.require_digit = on

三、密码策略检查内容

  1. 基本规则

    • 密码长度 ≥ 8字符(可配置)
    • 不能与用户名相同
    • 不能包含用户名
  2. 复杂度要求

    • 至少包含1个字母和1个数字
    • 可选:要求大小写混合
    • 检查常见弱密码(如'password'、'123456'等)
  3. 错误示例

    sql 复制代码
    -- 密码太短
    ALTER USER test WITH PASSWORD 'abc123';
    -- 错误: password is too short
    
    -- 密码与用户名相同
    CREATE USER demo WITH PASSWORD 'demo';
    -- 错误: password must not contain user name

四、生产环境配置建议

1. 推荐配置

ini 复制代码
# postgresql.conf
passwordcheck.min_length = 12
passwordcheck.mixed_case = on
passwordcheck.require_digit = on
passwordcheck.special_chars = on  # 如扩展支持

2. 自定义字典检查

  1. 创建自定义字典文件:

    bash 复制代码
    echo -e "company\n2023\nqwerty" > /etc/postgresql/common_passwords.txt
    chown postgres:postgres /etc/postgresql/common_passwords.txt
  2. 修改扩展代码(需要重新编译):

    c 复制代码
    // 在passwordcheck.c中添加自定义字典路径
    #define CUSTOM_DICT_FILE "/etc/postgresql/common_passwords.txt"

五、扩展限制与解决方案

现有限制

  1. 仅在校验密码更改时生效
  2. 检查规则相对简单
  3. 不支持正则表达式等复杂规则

增强方案

方案1:使用pgcrypto扩展+触发器

sql 复制代码
CREATE OR REPLACE FUNCTION check_password_complexity()
RETURNS event_trigger AS $$
BEGIN
  IF tg_tag = 'ALTER ROLE' THEN
    -- 从pg_event_trigger_ddl_commands()获取密码
    -- 添加自定义复杂度检查逻辑
  END IF;
END;
$$ LANGUAGE plpgsql;

CREATE EVENT TRIGGER enforce_password_policy 
ON ddl_command_end 
WHEN TAG IN ('ALTER ROLE') 
EXECUTE FUNCTION check_password_complexity();

方案2:集成CrackLib

  1. 安装依赖:

    bash 复制代码
    apt-get install libcrack2-dev  # Debian/Ubuntu
    yum install cracklib-devel     # RHEL/CentOS
  2. 修改passwordcheck.c使用CrackLib:

    c 复制代码
    #include <crack.h>
    
    // 在检查函数中添加
    if (FascistCheck(password, CRACKLIB_DICTPATH) != NULL) {
        errmsg("password fails dictionary check");
    }

六、与认证延迟结合使用

ini 复制代码
# 组合安全配置示例

# passwordcheck
passwordcheck.min_length = 10
passwordcheck.mixed_case = on

# auth_delay
auth_delay.milliseconds = 3000
auth_delay.failure_count = 5

# pg_hba.conf
hostssl all all all scram-sha-256

七、企业级密码策略实现

对于需要符合合规性要求(如PCI DSS、GDPR)的环境:

  1. 使用LDAP集成

    ini 复制代码
    # postgresql.conf
    pam_service_name = 'postgresql-ldap'
    
    # /etc/pam.d/postgresql-ldap
    auth required pam_ldap.so
    password required pam_cracklib.so retry=3 minlen=15 difok=3
  2. 商业扩展方案

    • Cybertec Passwordcheck Plus
    • EnterprisedB Advanced Password Policy

八、监控与审计

  1. 记录密码更改事件

    sql 复制代码
    CREATE TABLE password_change_audit (
      username text,
      change_time timestamp,
      client_ip text
    );
    
    CREATE OR REPLACE FUNCTION log_password_change()
    RETURNS event_trigger AS $$
    BEGIN
      INSERT INTO password_change_audit
      VALUES (current_user, now(), inet_client_addr());
    END;
    $$ LANGUAGE plpgsql;
    
    CREATE EVENT TRIGGER password_audit
    ON ddl_command_end WHEN TAG IN ('ALTER ROLE')
    EXECUTE FUNCTION log_password_change();
  2. 定期检查弱密码

    bash 复制代码
    # 使用pg_shadow和自定义检查脚本
    psql -c "SELECT usename FROM pg_shadow" | while read user; do
      if check_weak_password.sh $user; then
        echo "Weak password found for $user"
      fi
    done

passwordcheck 提供了基础的密码策略实施能力,对于大多数环境已经足够。对于更高安全要求的场景,建议通过自定义扩展或集成外部认证系统来增强功能。

相关推荐
网硕互联的小客服8 分钟前
未来趋势:AI与量子计算对服务器安全的影响
运维·服务器·网络·网络安全·量子计算
GJCTYU11 分钟前
spring中@Transactional注解和事务的实战理解附代码
数据库·spring boot·后端·spring·oracle·mybatis
MicroTech202514 分钟前
微算法科技(NASDAQ: MLGO)探索Grover量子搜索算法,利用量子叠加和干涉原理,实现在无序数据库中快速定位目标信息的效果。
数据库·科技·算法
Code季风16 分钟前
SQL关键字快速入门:CASE 实现条件逻辑
javascript·数据库·sql
宇钶宇夕16 分钟前
STEP 7 MicroWIN SMART V2.2 的详细安装步骤及注意事项
运维·服务器·程序人生·自动化
weixin_4786897631 分钟前
操作系统【2】【内存管理】【虚拟内存】【参考小林code】
数据库·nosql
czhc11400756631 小时前
Linux 77 FTP
linux·运维·服务器
九皇叔叔1 小时前
【7】PostgreSQL 事务
数据库·postgresql
天若有情6731 小时前
【Linux】02_CentOS 7 开机运行级别详解:从基础概念到实战配置
linux·运维·centos
kk在加油1 小时前
Mysql锁机制与优化实践以及MVCC底层原理剖析
数据库·sql·mysql