当前位置: 首页
网络安全
Ubuntu系统下使用pgAdmin工具对数据库进行加密的方法

Ubuntu系统下使用pgAdmin工具对数据库进行加密的方法

热心网友 时间:2026-07-16
转载

pgAdmin数据加密涉及传输层SSL TLS配置和本地敏感数据保护。需为pgAdmin服务端和PostgreSQL服务器分别生成证书并启用SSL,同时通过GPG加密配置文件、严格权限设置及防火墙限制访问范围,确保数据传输与存储安全。

说到 pgAdmin 的数据安全,加密配置绝对是最核心的一环。它主要涉及两个方面:传输层的 SSL/TLS 加密,以及配置文件和敏感数据的本地加密。下面我们一步步来看如何落地。

一、传输层加密(SSL/TLS):保护数据传输安全

传输层加密的目的很明确——防止数据在 pgAdmin 与 PostgreSQL 服务器之间、pgAdmin 与客户端浏览器之间被中途窃取或篡改。要真正生效,需分别配置 pgAdmin 服务端和 PostgreSQL 服务器两端的 SSL。

1. 配置 pgAdmin 服务端 SSL

  • 第一步:生成 SSL 证书与私钥。使用 OpenSSL 工具可以快速生成自签名证书(生产环境强烈建议使用 CA 颁发的正式证书)。执行以下命令:

    sudo openssl req -newkey rsa:2048 -new -nodes -x509 -days 3650 -keyout /etc/pgadmin4/server.key -out /etc/pgadmin4/server.crt

    命令拆解一下:-newkey rsa:2048 生成 2048 位的 RSA 私钥,-x509 表示生成自签名证书,-days 3650 把有效期设为 10 年,最后两个参数分别指定私钥和证书文件的输出路径。

  • 第二步:告诉 pgAdmin 去哪读取证书。编辑 pgAdmin 的本地配置文件(Ubuntu 上默认路径是 /etc/pgadmin4/config_local.py),加入以下两行:

    SSL_CERTFILE = '/etc/pgadmin4/server.crt'
    SSL_KEYFILE = '/etc/pgadmin4/server.key'
  • 第三步:设置文件权限。证书和私钥属于敏感资产,必须确保只有 pgAdmin 用户才能读取:

    sudo chown root:pgadmin /etc/pgadmin4/server.key /etc/pgadmin4/server.crt
    sudo chmod 640 /etc/pgadmin4/server.key /etc/pgadmin4/server.crt
  • 第四步:重启 pgAdmin 服务,让配置生效:

    sudo systemctl restart pgadmin4
  • 第五步:验证 SSL 连接是否生效。用浏览器访问 https://<服务器IP>:5051(默认端口是 5051,如果你改过端口就替换成你自己的),检查地址栏是否出现锁图标——这是 HTTPS 加密连接成功的标志。

2. 配置 PostgreSQL 服务器 SSL

pgAdmin 连接 PostgreSQL 时同样需要启用 SSL,这一步需要在 PostgreSQL 这边做对应配置:

  • 修改 postgresql.conf 文件。这个文件一般位于 /etc/postgresql/<版本>/main/postgresql.conf,开启 SSL 并指定证书路径:

    ssl = on
    ssl_cert_file = '/etc/postgresql/<版本>/main/server.crt'
    ssl_key_file = '/etc/postgresql/<版本>/main/server.key'
  • 修改 pg_hba.conf 文件。这个文件通常在同一目录下,用于控制客户端认证。针对远程客户端,可以强制要求 SSL 连接:

    hostssl all all 0.0.0.0/0 md5

    这行配置的意思是:所有远程 IP 连接任何数据库时,必须走 SSL 连接,认证方式为 md5 密码验证。

  • 重启 PostgreSQL 服务:

    sudo systemctl restart postgresql
  • 最后,在 pgAdmin 中创建到 PostgreSQL 的连接时,记得勾选 “Use SSL” 选项,并选择模式为 “Certificate”。如果你用了自签名证书,记得提前把证书导入 pgAdmin 的信任库。

二、配置文件与敏感数据加密:防止未授权访问

pgAdmin 的配置文件(比如前面提到的 config_local.py)里往往藏有数据库连接信息、认证凭证等敏感数据。这些内容不能裸奔,需要通过加密或严格的权限控制来保护。

1. 加密敏感配置文件

如果你需要更高级别的保护,可以用 GnuPG(GPG)工具对配置文件进行加密。前提是你已经安装了 GPG:

gpg -c /etc/pgadmin4/config_local.py           # 生成加密文件 config_local.py.gpg
sudo mv /etc/pgadmin4/config_local.py.gpg /etc/pgadmin4/config_local.py   # 替换原文件

使用时需要先解密(输入加密时的密码):

gpg -d /etc/pgadmin4/config_local.py > /tmp/config_local.py.tmp && sudo mv /tmp/config_local.py.tmp /etc/pgadmin4/config_local.py

需要说明的是,这种方法会增加每次修改配置的复杂度——每次改配置都得先解密再重新加密。所以建议只在极端安全场景下使用,日常维护反而可能带来不便。

2. 设置配置文件权限

一个更基础的防护手段是严格控制配置目录的权限,确保只有必要用户能访问:

sudo chown -R root:pgadmin /etc/pgadmin4/
sudo chmod -R 750 /etc/pgadmin4/

目录权限 750 的意思是:所有者(root)可读写执行,所属组(pgadmin)可读执行,其他用户没有任何权限。

3. 限制 pgAdmin 访问范围

通过防火墙限定能访问 pgAdmin 端口的 IP 范围,避免暴露在公网之中:

sudo ufw allow from <允许的IP地址> to any port 5051 proto tcp
sudo ufw enable

比如只允许公司内部网络 IP 访问,其他来源一律拒绝。

三、补充安全建议

  • 定期更新软件:保持 pgAdmin、PostgreSQL 以及 Ubuntu 系统本身为最新版本,能及时修补已知安全漏洞。
  • 使用强密码:pgAdmin 管理员账户和 PostgreSQL 数据库账户的密码,必须包含大小写字母、数字和特殊字符,并定期更换。
  • 审计日志:开启 pgAdmin 与 PostgreSQL 的日志记录,比如设置 log_statement = 'all'log_connections = on,这样一旦出现异常访问行为,能第一时间从日志里发现蛛丝马迹。
来源:https://www.yisu.com/ask/16153386.html

游乐网为非赢利性网站,所展示的游戏/软件/文章内容均来自于互联网或第三方用户上传分享,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系youleyoucom@outlook.com。

同类文章
更多
Ubuntu系统文件加密触发步骤

Ubuntu系统文件加密触发步骤

Ubuntu下文件加密主流方式包括:GnuPG加密单个文件,VeraCrypt管理大容量加密容器,系统压缩功能快速打包加密,CryptKeeper图形化加密文件夹,LUKS实现全盘或分区加密,eCryptfs加密主目录。操作前需备份数据并谨慎管理密码。

时间:2026-07-16 06:37
Ubuntu FTP服务器加密传输配置方法

Ubuntu FTP服务器加密传输配置方法

在Ubuntu系统上为FTP服务器启用加密传输,整体流程并不复杂,但有几个关键步骤需要精准把握。下面将完整过程逐一拆解,每一步的操作目的与注意事项都会详细说明,帮助您轻松完成FTPS(FTP over SSL TLS)配置。 安装FTP服务器软件(vsftpd) 如果尚未安装FTP服务端,vsftp

时间:2026-07-16 06:37
Linux系统Exploit攻击的全面防范策略及安全最佳实践

Linux系统Exploit攻击的全面防范策略及安全最佳实践

Linux系统防范exploit攻击需采取十项核心策略:保持系统更新、配置防火墙、遵循最小权限原则、减少攻击面、启用SELinux或AppArmor、监控日志、使用专业安全工具、定期备份数据、开展安全培训及制定应急响应计划,层层设防以显著提升安全性。

时间:2026-07-16 06:37
Debian中Tomcat防止恶意攻击的全面指南

Debian中Tomcat防止恶意攻击的全面指南

在Debian生产环境中,Tomcat安全加固需落实更新版本、移除默认示例、关闭无用端口与AJP协议、创建低权限用户运行、加强密码与角色管控、配置管理界面IP白名单、禁用Shutdown端口、启用SSL TLS加密、定期审计日志并设置锁定机制与禁用PUT方法。

时间:2026-07-16 06:36
Debian漏洞攻击历史案例盘点

Debian漏洞攻击历史案例盘点

在Debian系统的安全发展历程中,曾爆发过多起影响深远的漏洞攻击事件,其中部分漏洞波及范围广泛、潜伏周期漫长,至今仍是安全领域反复研讨的典型案例。下面梳理几个具有代表性的安全隐患记录。 首先是2016年曝出的Nginx本地权限提升漏洞。安全研究员Dawid Golunski发现,在Debian与U

时间:2026-07-16 06:36
热门专题
更多
刀塔传奇破解版无限钻石下载大全 刀塔传奇破解版无限钻石下载大全
洛克王国正式正版手游下载安装大全 洛克王国正式正版手游下载安装大全
思美人手游下载专区 思美人手游下载专区
好玩的阿拉德之怒游戏下载合集 好玩的阿拉德之怒游戏下载合集
不思议迷宫手游下载合集 不思议迷宫手游下载合集
百宝袋汉化组游戏最新合集 百宝袋汉化组游戏最新合集
jsk游戏合集30款游戏大全 jsk游戏合集30款游戏大全
宾果消消消原版下载大全 宾果消消消原版下载大全
  • 热门数据榜