Я настроил ssl = onв postgresql.conf(и установил сертификат и так далее). Гарантирует ли это, что все клиенты всегда будут подключаться через SSL?
(Т.е. делает ssl = onли это невозможным подключение без шифрования SSL?)
Существуют ли другие способы гарантировать, что все клиенты всегда подключаются через SSL / TLS?
С наилучшими пожеланиями, KajMagnus
Ответы:
ssl = on Включает только возможность использования SSL.
Чтобы убедиться, что все клиенты используют SSL, добавьте hostsslстроки pg_hba.conf, например,
hostssl all all 0.0.0.0/0 md5и удалите все hostстроки. (Ну, может быть, оставьте те для localhost.)
Нет, это просто позволяет использовать SSL. Вам также необходимо внести соответствующие изменения в ваш файл pg_hga.conf .
hostsslчто клиент должен предоставить свой собственный сертификат SSL, но теперь я заметил, что есть certметод аутентификации, который я могу указать в pg_hga.conf.
postgresql.confиpg_hba.conf. Однако я все еще могу связаться сsslmode=disable. Например, psql "sslmode = отключить хост = localhost dbname = test".