当前位置：首页 > article >正文

别再只会用ALTER USER了！PostgreSQL密码管理的5种隐藏技巧

article 2026/3/20 3:51:24

PostgreSQL密码管理的5个高阶技巧安全工程师不会告诉你的秘密如果你还在用ALTER USER命令直接修改PostgreSQL密码那么你可能错过了数据库安全防护中最关键的几个环节。作为一款企业级开源数据库PostgreSQL提供了远比基础密码修改更强大的安全机制但这些功能往往藏在文档的角落不被普通开发者发现。1. 告别历史记录密码文件的正确打开方式每次在命令行直接输入ALTER USER...WITH PASSWORD都会在shell历史中留下密码痕迹。更专业的做法是使用密码文件# 生成随机密码并写入临时文件 NEW_PASS$(openssl rand -base64 16 | tr -d / | cut -c1-12) echo ALTER USER dbadmin WITH PASSWORD $NEW_PASS; /tmp/pg_pass_change.sql # 通过文件执行修改 psql -U postgres -f /tmp/pg_pass_change.sql # 立即销毁密码文件 shred -zu /tmp/pg_pass_change.sql关键改进点使用openssl生成符合PCI DSS标准的强密码密码只在内存中存在不会写入磁盘历史shred确保临时文件无法恢复生产环境建议将密码文件存放在内存文件系统如/dev/shm中2. 自动化密码轮换cron与脚本的完美结合定期更换密码是安全审计的基本要求但手动操作容易遗漏。下面这个脚本可以自动完成整个流程#!/usr/bin/env python3 import psycopg2 from datetime import datetime from subprocess import run import secrets import string def generate_password(length16): alphabet string.ascii_letters string.digits !#$%^* return .join(secrets.choice(alphabet) for _ in range(length)) def update_pg_password(user): new_pass generate_password() conn psycopg2.connect(dbnamepostgres userpostgres hostlocalhost) conn.autocommit True with conn.cursor() as cur: cur.execute(fALTER USER {user} WITH PASSWORD %s, (new_pass,)) # 写入加密密码库 with open(/etc/pgbouncer/userlist.txt, a) as f: f.write(f{user} {new_pass}\n) return new_pass if __name__ __main__: users [app_user, report_user, backup_user] for user in users: update_pg_password(user)部署方法chmod x /usr/local/bin/rotate_pg_passwords.py (crontab -l 2/dev/null; echo 0 3 1 * * /usr/local/bin/rotate_pg_passwords.py) | crontab -3. 加密算法选择MD5 vs SCRAM-SHA-256的深度对比PostgreSQL支持多种密码加密方式选择不当会带来安全隐患加密方式安全性PostgreSQL版本特点MD5低所有版本易受彩虹表攻击仅限内网使用SCRAM-SHA-256高10默认方式符合NIST标准plain text无所有版本绝对禁止在生产环境使用检查当前加密方式SELECT usename, CASE WHEN passwd LIKE md5% THEN MD5 WHEN passwd LIKE SCRAM-SHA-256% THEN SCRAM ELSE plain END AS auth_method FROM pg_shadow;升级到SCRAM-SHA-256-- 全局设置 ALTER SYSTEM SET password_encryption scram-sha-256; SELECT pg_reload_conf(); -- 现有用户迁移 ALTER USER important_user WITH ENCRYPTED PASSWORD new_password;4. 密码生命周期管理时效控制与历史记录企业级安全要求密码必须定期更换PostgreSQL提供了原生支持-- 设置90天有效期 ALTER USER finance_user WITH PASSWORD Temp1234 VALID UNTIL (current_date interval 90 days); -- 查看所有用户密码状态 SELECT usename, valuntil AS expires_at, CASE WHEN valuntil NOW() THEN EXPIRED WHEN valuntil IS NULL THEN NO LIMIT ELSE ACTIVE END AS status FROM pg_user;进阶技巧结合pg_hba.conf实现过期锁定# 在pg_hba.conf中添加 hostssl all finance_user 0.0.0.0/0 scram-sha-256 hostssl all all 0.0.0.0/0 scram-sha-256 rejectif pg_user.valuntil now()5. 密码审计谁在什么时候修改了密码突然的密码变更可能是入侵信号需要完整审计-- 创建审计表 CREATE TABLE password_change_audit ( id SERIAL PRIMARY KEY, username TEXT NOT NULL, changed_by TEXT NOT NULL, change_time TIMESTAMPTZ NOT NULL DEFAULT now(), client_addr INET ); -- 设置事件触发器 CREATE OR REPLACE FUNCTION log_password_change() RETURNS event_trigger AS $$ DECLARE r RECORD; BEGIN FOR r IN SELECT * FROM pg_event_trigger_ddl_commands() LOOP IF r.command_tag ALTER ROLE AND r.object_type ROLE THEN INSERT INTO password_change_audit(username, changed_by, client_addr) VALUES (r.objname, session_user, inet_client_addr()); END IF; END LOOP; END; $$ LANGUAGE plpgsql; CREATE EVENT TRIGGER password_change_trigger ON ddl_command_end WHEN TAG IN (ALTER ROLE) EXECUTE FUNCTION log_password_change();查看审计日志SELECT username, changed_by, change_time AT TIME ZONE Asia/Shanghai AS local_time, client_addr FROM password_change_audit ORDER BY change_time DESC LIMIT 10;这些技巧来自我在金融行业实施PostgreSQL安全加固时的实战经验。曾经有一次安全演练中攻击者通过shell历史获取了数据库密码而采用密码文件方式的管理员账户则安然无恙。密码管理看似简单实则是数据库安全的第一道防线。

别再只会用ALTER USER了！PostgreSQL密码管理的5种隐藏技巧

相关文章：

别再只会用ALTER USER了！PostgreSQL密码管理的5种隐藏技巧

皇冠CAD(CrownCAD2026R2)：提取U/V线（等参数曲线）

树莓派4B新手指南：从零搞定libcamera驱动的CSI摄像头

VScode+esp-idf：深入解析ESP32-CAM开发板SD卡文件系统操作

RexUniNLU惊艳效果：中文社交媒体文本ABSA细粒度情感抽取作品集

告别重复编码：用快马AI为clowdbot自动生成状态管理与API集成模块，效率翻倍

基于 MATLAB GUI 的语音信号滤波系统功能说明

群晖DSM7.0权限管理实战：从账号创建到精细化控制

ACO蚁群算法优化KELM核极限学习机（ACO-KELM）回归预测MATLAB代码代码注释清...

48Tools：多平台直播录制与视频下载工具的技术架构深度解析

AWS CDN配置实战：如何让不带www的域名自动跳转到www版本（附完整代码）

ROS软件包安装避坑指南：从源配置到版本匹配的完整流程（以Noetic/Melodic为例）

5个专业级方案：解决xiaomusic小爱音箱本地音乐无声问题

Xilinx PCIe高速接口实战：FPGA配置时序的规范解析与设计约束

HALCON实战：如何用add_metrology_object_line_measure精准抓取图像中的直线（附完整代码）

GPT-SoVITS应用教程：打造个人数字人，让你的虚拟形象开口说话

分子对接避坑：AutoDock Vina中Box Size和Exhaustiveness的常见误区与最佳实践

Win7网络卡顿？3个netsh命令让你的TCP连接速度翻倍（附实测对比）

企业微信内部应用开发实战：从零到一用UniApp搞定授权登录（附完整代码）

IBM X3850 X6电源告警避坑指南：从硬件检查到VMware集群恢复

HMCL启动器终极指南：轻松解决你的Minecraft启动烦恼

深度解析：OpenClaw如何通过AI+RPA重构物流货代应收账款账龄分析与财务对账流程

MTKClient全平台配置与使用指南

告别依赖烦恼：在Windows上使用vcpkg一站式部署Protobuf C++开发环境

终端报错：bashrc文件缺失的快速诊断与修复指南

别再踩坑了！Jackson里这两个反序列化配置，90%的Java开发者都理解错了

RISC-V C语言驱动调试最后防线：自研轻量级printf-free日志注入框架（仅237行代码，支持CSR实时dump，业内首次开源）

老旧Mac升级指南：让2012-2015款Mac重获新生

DeepSeek-OCR-2新手入门：3步搭建智能OCR工具，告别手动排版

SpringMVC(1)学习内容