Cenário: Autenticação do PostgreSQL Server

Suporte

Suporte para Empresas

Kaspersky Security Center 15 Linux

Guia de Introdução

Instalação

Cenário: Autenticação do PostgreSQL Server

24 de abril de 2024

ID 257050

Salvar como PDF

Expandir tudo | Recolher tudo

Recomendamos usar um certificado TLS para autenticar o servidor PostgreSQL. É possível usar um certificado de uma autoridade de certificação (AC) confiável ou um certificado autoassinado. Use um certificado de uma CA confiável, porque um certificado autoassinado fornece apenas proteção limitada.

O Servidor de Administração é compatível com a autenticação SSL unidirecional e bidirecional para o PostgreSQL.

Siga estas etapas para configurar a autenticação SSL para o PostgreSQL:

Gere um certificado para o servidor PostgreSQL.
Execute os seguintes comandos:

openssl req -new -x509 -days 365 -nodes -text -out psql.crt -keyout psql.key -subj "/CN=psql"

chmod og-rwx psql.key
Gere um certificado para o Servidor de Administração.
Execute os seguintes comandos. O valor CN deve corresponder ao nome do usuário que se conecta com o PostgreSQL em nome do Servidor de Administração. O nome de usuário é definido como postgres por padrão.

openssl req -new -x509 -days 365 -nodes -text -out postgres.crt -keyout postgres.key -subj "/CN=postgres"

chmod og-rwx postgres.key
Configure a autenticação do certificado de cliente.
Modifique o arquivo pg_hba.conf da seguinte forma:

hostssl all all 0.0.0.0/0 md5

Garanta que o arquivo pg_hba.conf não inclua um registro que comece com host.
Especifique o certificado PostgreSQL.
Autenticação SSL unidirecional

Modifique o arquivo postgresql.conf da seguinte forma (especifique o caminho correto para os arquivos .crt e .key):

listen_addresses ='*'

ssl = on

ssl_cert_file = 'psql.crt'

ssl_key_file = 'psql.key'

Autenticação SSL bidirecional

Modifique o arquivo postgresql.conf da seguinte forma (especifique o caminho correto para os arquivos .crt e .key):

listen_addresses ='*'

ssl = on

ssl_ca_file = '<postgres.crt>'

ssl_cert_file = '<psql.crt>'

ssl_key_file = '<psql.key>'
Reinicie o daemon do PostgreSQL.
Execute o seguinte comando:

systemctl restart postgresql-14.service
Especifique o sinalizador do servidor para o Servidor de Administração.
Autenticação SSL unidirecional

Navegue até o diretório ServerFlags e crie um arquivo que corresponda ao sinalizador do servidor KLSRV_POSTGRES_OPT_SSL_CA:

cd /etc/opt/kaspersky/klnagent_srv/1093/1.0.0.0/ServerFlags/

mkfile KLSRV_POSTGRES_OPT_SSL_CA

No arquivo criado, especifique o caminho para o arquivo psql.crt.

Autenticação SSL bidirecional
Navegue até o diretório ServerFlags e crie arquivos que correspondam aos sinalizadores do servidor:

cd /etc/opt/kaspersky/klnagent_srv/1093/1.0.0.0/ServerFlags/

mkfile KLSRV_POSTGRES_OPT_SSL_CA

mkfile KLSRV_POSTGRES_OPT_SSL_CERT

mkfile KLSRV_POSTGRES_OPT_SSL_KEY

Edite os arquivos criados da seguinte forma:
- KLSRV_POSTGRES_OPT_SSL_CA: especifique o caminho para o arquivo psql.crt.
- KLSRV_POSTGRES_OPT_SSL_CERT: especifique o caminho para o arquivo postgres.crt.
- KLSRV_POSTGRES_OPT_SSL_KEY: especifique o caminho para o arquivo postgres.key.
Caso o arquivo postgres.key exija uma senha, crie um arquivo KLSRV_POSTGRES_OPT_TLS_PASPHRASE na pasta ServerFlags e especifique a senha nele.
Reinicie o serviço do Servidor de Administração.

Kaspersky Endpoint Security for Linux: High protection without performance compromising

Detects and blocks advanced threats. Buy as part of Endpoint Security for Business Advanced.

Kaspersky Premium Support (MSA): High‑priority incident processing

Telephone and web ticket support. Fast response, monitoring and health check. Submit a request and activate the contract (MSA).

Este artigo foi útil?

O que podemos melhorar?

Agradecemos o seu comentário! Ele nos ajuda a melhorar.