Я налаштував ssl = onв postgresql.conf(і встановлений сертифікат Etcetera). Чи гарантує це, що всі клієнти завжди підключатимуться через SSL?
(Тобто ssl = onце робить неможливим з'єднання без шифрування SSL?)
Чи є інші способи гарантувати, що всі клієнти завжди підключаються через SSL / TLS?
З повагою, KajMagnus
Відповіді:
ssl = on дозволяє лише використовувати SSL.
Щоб усі клієнти використовували SSL, додайте hostsslрядки pg_hba.conf, наприклад,
hostssl all all 0.0.0.0/0 md5і видаліть усі hostрядки. (Ну, можливо, збережіть їх localhost.)
Ні, це просто дозволяє використовувати SSL. Вам також потрібно внести відповідні зміни у файл pg_hga.conf .
hostsslвимагає від клієнта надати свій власний сертифікат SSL, але тепер я помітив, що існує certметод автентифікації, який я можу вказати в pg_hga.conf.
postgresql.confіpg_hba.conf. Однак я все ще можу зв'язатисьsslmode=disable. наприклад, psql "sslmode = відключити хост = localhost dbname = тест" Я щось тут пропустив?