PostgreSQL数据库安全加固（二）——设置密码验证失败延迟时间

谁践踏了优雅 2024-03-27 17:46 16阅读 0赞

#### 文章目录 ####

*  前言
 *  一、下载扩展插件
 *  二、安装auth\_delay扩展插件
 *  三、装载模块并修改配置
 *  四、测试
 *  总结

--------------------

## 前言 ##

PostgreSQL数据库设置密码验证失败延迟时间可以通过安装auth\_delay扩展插件来实现，该设置主要是防止暴力破解，在验证失败后, 会延迟一段时间后，才能继续验证。

## 一、下载扩展插件 ##

auth\_delay扩展插件就包含在PostgreSQL数据库的源码安装包中，所以你需要先下载与你数据库版本一致的安装包。  
**安装包下载地址：http://www.postgresql.org/ftp/source/**

# 以postgresql-14.7版本为例，解压安装包
    tar -zxvf postgresql-14.7.tar.gz

解压后的postgresql-14.7/contrib/auth\_delay目录就是auth\_delay插件的文件目录

## 二、安装auth\_delay扩展插件 ##

进入postgresql的源安装包文件夹，进入contrib目录，找到auth\_delay文件夹，进入并进行安装。

# 安装命令
    make && make install

![在这里插入图片描述][9cdc36435fcb431e82056df1703ebd28.png]

## 三、装载模块并修改配置 ##

打开$\{PGDATA?\}/postgresql.conf文件，修改shared\_preload\_libraries参数以包含’auth\_delay’，同时找到auth\_delay.milliseconds参数，设置延迟时间，单位为毫秒，以下示例5000代表5秒，若文件中没有该参数，添加即可。修改后，需要重启数据库才能生效。

注意：auth\_delay认证失败之前等待的毫秒数，缺省是0。以下示例修改表示在一次认证失败后，将延迟5秒中才能继续下一次认证。该选项可以增加暴力破解数据库服务器的密码难度，但它并不能防止拒绝服务攻击，甚至可能恶化它们，因为报告验证失败之前等待的过程将损耗连接槽位。

#增加配置示例
    auth_delay.milliseconds='5000'

# 注意自己的配置文件路径
    vi /pgsql/postgresql/data/postgresql.conf

![在这里插入图片描述][64f6ecded7924e0cac5d50140fe9d7d1.png]

## 四、测试 ##

使用psql命令进行登录验证。

psql -U admin1

![在这里插入图片描述][87081a1ffacd4853a50611bb9be05fdc.png]

## 总结 ##

除了需要在postgresql.conf配置文件中装载auth\_delay模块，还需要增加auth\_delay.milliseconds配置参数，否则该扩展模块的功能无法体现。

[9cdc36435fcb431e82056df1703ebd28.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/03/27/8a1e56c2e88f41d5b3d0d3b5edcef0b4.png
[64f6ecded7924e0cac5d50140fe9d7d1.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/03/27/e27df59091094d03bac63f25b69f4b97.png
[87081a1ffacd4853a50611bb9be05fdc.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/03/27/8fc239411f3f457a94d54861f8d97254.png