dre*_*lax 9 postgresql remote ssl
我在 DBA 和其他网站上看到,将数据库暴露给 Internet 是一个特别糟糕的主意,但我注意到 PostgreSQL 具有仅 SSL 证书的身份验证。这是否会使将数据库公开到互联网(来自非本地主机连接的仅证书身份验证)更安全,还是建立 VPN 或通过 SSH 等隧道更好?
如果后者更安全,究竟是什么让它更安全?在这方面,我觉得我忽略了一些显而易见的事情。
我之前已经设置了一些数据库,但实际上从未需要设置需要某种远程管理的数据库(在这种情况下,“远程”是指通过 Internet 或 WAN 而不是 LAN)。
Chr*_*loe 11
总的来说,这并不是一个坏主意,更多的是很少有实例需要将数据库公开给公共接口。
大部分安全性都是关于减少您暴露的攻击面的数量。如果您的应用程序并非绝对必须将您的数据库公开给公众,那么您可以将其隐藏在防火墙后面,并针对将来可能出现的任何潜在漏洞提供另一级别的保护。
我不会认为“远程管理”是公开 postgres 的充分理由。正如你所说; 您已经需要 SSH 访问您的机器,这样您就可以轻松地将 postgres 置于防火墙后面,并通过它获得访问权限,而不会出现任何问题。
RE:SSL 连接。这将是必须的,除非您对第三方只是在您通过网络发送数据时读取您的数据感到满意。这里的注意事项与公共互联网上的任何流量相同。