19.4. Аутентификация trust#
19.4. Аутентификация trust #
Когда указывается аутентификация trust, Tantor BE предполагает, что любой, кто может подключиться к серверу, имеет право доступа к базе данных с любым указанным именем пользователя (даже суперпользователя). Конечно, ограничения, установленные в столбцах database и user, все равно применяются. Этот метод следует использовать только при наличии адекватной защиты на уровне операционной системы для подключений к серверу.
Аутентификация trust является подходящей и очень удобной для локальных подключений на однопользовательской рабочей станции. Она обычно не подходит сама по себе для многопользовательской машины. Однако, можно использовать trust даже на многопользовательской машине, если ограничите доступ к файлу сокета Unix-домена сервера с помощью разрешений файловой системы. Для этого установите параметры конфигурации unix_socket_permissions (и, возможно, unix_socket_group), как описано в разделе Раздел 18.3. Или можно установить параметр конфигурации unix_socket_directories, чтобы поместить файл сокета в подходящий ограниченный каталог.
Только установка прав доступа к файловой системе помогает для соединений через Unix-сокеты.
Локальные TCP/IP-соединения не ограничены правами доступа к файловой системе.
Поэтому, если нужно использовать права доступа к файловой системе для локальной безопасности,
удалите строку host ... 127.0.0.1 ... из файла
pg_hba.conf или измените ее на
не-trust метод аутентификации.
trust аутентификация подходит только для TCP/IP соединений, если вы доверяете каждому пользователю на каждом компьютере, который имеет разрешение на подключение к серверу через строки pg_hba.conf, указывающие trust. Редко разумно использовать trust для любых TCP/IP соединений, кроме тех, которые идут с localhost (127.0.0.1).