pg_hba.conf 文件详解
pg_hba.conf 是 PostgreSQL 中用于控制客户端认证的配置文件,全称为 "Host-Based Authentication"。该文件定义了哪些主机、用户、数据库可以连接 PostgreSQL 服务器,以及使用何种认证方式。
实际解释:
允许主机可以通过什么连接方式和认证方法通过哪个数据库用户连接哪个数据库。
文件位置通常位于:
- Linux:
/etc/postgresql/[version]/main/pg_hba.conf - Windows:
[PostgreSQL安装目录]/data/pg_hba.conf
文件格式为每行一条记录,每条记录包含以下字段:
- 连接类型(
local,host,hostssl,hostnossl) - 数据库名称
- 用户名
- 客户端地址(CIDR格式)
- 认证方法(
trust,reject,md5,scram-sha-256,peer等)
常用认证方法
trust: 无需密码直接连接reject: 拒绝连接md5: 使用MD5加密密码scram-sha-256: 更安全的SCRAM-SHA-256加密(PostgreSQL 10+推荐)peer: 使用操作系统用户名认证(仅local连接)cert: SSL客户端证书认证ident: 通过ident服务器认证
常见配置示例
允许本地所有用户无密码访问所有数据库:
local all all trust允许192.168.1.0/24网段用户通过密码访问特定数据库:
host mydb myuser 192.168.1.0/24 scram-sha-256拒绝来自10.0.0.5的特定用户连接:
host all baduser 10.0.0.5/32 reject要求SSL加密连接:
hostssl all all 0.0.0.0/0 cert允许本地操作系统用户同名连接(Unix域套接字):
local all all peer允许特定IP范围的复制用户连接:
host replication replicator 192.168.2.0/24 md5配置注意事项
修改pg_hba.conf后需要重新加载配置生效:
sql
SELECT pg_reload_conf();每条规则按顺序匹配,第一个匹配的规则将被应用。建议将更具体的规则放在前面,通用规则放在后面。
生产环境应避免使用trust认证方式,推荐使用scram-sha-256或证书认证。
IPv6地址需要使用::1/128等格式表示,如:
host all all ::1/128 scram-sha-256