19.4. Аутентификация trust#
19.4. Аутентификация trust #
Когда указывается аутентификация trust
, Tantor BE предполагает, что любой, кто может подключиться к серверу, имеет право доступа к базе данных с любым указанным именем пользователя (даже суперпользователя). Конечно, ограничения, установленные в столбцах database
и user
, все равно применяются. Этот метод следует использовать только при наличии адекватной защиты на уровне операционной системы для подключений к серверу.
Аутентификация trust
является подходящей и очень удобной для локальных подключений на однопользовательской рабочей станции. Она обычно не подходит сама по себе для многопользовательской машины. Однако, вы можете использовать trust
даже на многопользовательской машине, если ограничите доступ к файлу сокета Unix-домена сервера с помощью разрешений файловой системы. Для этого установите параметры конфигурации unix_socket_permissions
(и, возможно, unix_socket_group
), как описано в разделе Раздел 18.3. Или вы можете установить параметр конфигурации unix_socket_directories
, чтобы поместить файл сокета в подходящий ограниченный каталог.
Только установка прав доступа к файловой системе помогает для соединений через Unix-сокеты.
Локальные TCP/IP-соединения не ограничены правами доступа к файловой системе.
Поэтому, если нужно использовать права доступа к файловой системе для локальной безопасности,
удалите строку host ... 127.0.0.1 ...
из файла
pg_hba.conf
или измените ее на
не-trust
метод аутентификации.
trust
аутентификация подходит только для TCP/IP соединений, если вы доверяете каждому пользователю на каждом компьютере, который имеет разрешение на подключение к серверу через строки pg_hba.conf
, указывающие trust
. Редко разумно использовать trust
для любых TCP/IP соединений, кроме тех, которые идут с localhost (127.0.0.1).