¿Forzar a los clientes de PostgreSQL a usar SSL?

29

He configurado ssl = onen postgresql.conf(e instalado un certificado etcétera). ¿Esto garantiza que todos los clientes siempre se conectarán a través de SSL?

(Es decir, ¿ ssl = onhace que sea imposible conectarse sin cifrado SSL?)

¿Hay otras formas de garantizar que todos los clientes se conecten siempre a través de SSL / TLS?

Saludos cordiales, KajMagnus

postgresql KajMagnus
fuente

Respuestas:

27

ssl = on solo habilita la posibilidad de utilizar SSL.

Para asegurarse de que todos los clientes estén utilizando SSL, agregue hostssllíneas pg_hba.conf, por ejemplo,

hostssl  all  all  0.0.0.0/0  md5

y eliminar todas las hostlíneas. (Bueno, tal vez conserve los para localhost).

Peter Eisentraut
fuente
He configurado todos los ajustes en postgresql.confy pg_hba.conf. Sin embargo, todavía puedo conectarme con sslmode=disable. por ejemplo, psql "sslmode = deshabilitar host = localhost nombrebd = prueba" ¿Me perdí algo aquí?
Andy Aldo
@AndyAldo Uno necesitaría ver toda la configuración para analizar eso. Eso está fuera de alcance aquí.
Peter Eisentraut
13

No, eso simplemente permite el uso de SSL. También debe realizar los cambios apropiados en su archivo pg_hga.conf .

gsiems
fuente
2
Oh, debo haber leído mal los documentos: pensé que hostsslrequería que el cliente proporcionara su propio certificado SSL, pero ahora noté que hay un certmétodo de autenticación que puedo especificar en pg_hga.conf.
KajMagnus
(Gracias, voy a upvote su respuesta más adelante cuando tenga el 15 rep requerido.)
KajMagnus