更新时间:2025-01-23 GMT+08:00
分享

安全和认证(postgresql.conf)

介绍设置客户端和服务器的安全认证方式的相关参数。

session_timeout

参数说明:表明与服务器建立连接后,不进行任何操作的最长时间。

参数类型:USERSET

取值范围:整型,0-86400,最小单位为秒(s),0表示关闭超时设置。

默认值:10min

  • GaussDB(DWS) gsql客户端中有自动重连机制,所以针对初始化用户本地连接,超时后gsql表现的现象为断开后重连。
  • pooler连接池到其它CN和DN的连接,不受session_timeout参数控制。

ssl_renegotiation_limit

参数说明:指定在会话密钥重新协商之前,通过SSL加密通道可以传输的流量。这个重新协商流量限制机制可以减少攻击者针对大量数据使用密码分析法破解密钥的几率,但是也带来较大的性能损失。流量是指发送和接收的流量总和。

参数类型:USERSET

参数建议保持默认设置,即禁用重协商机制。不建议通过gs_guc工具或其他方式直接在postgresql.conf文件中设置ssl_renegotiation_limit参数,即使设置也不会生效。

取值范围:整型,0~INT_MAX,单位为KB。其中0表示禁用重新协商机制。

默认值:0

failed_login_attempts

参数说明:在任意时候,如果输入密码错误的次数达到failed_login_attempts则当前账户被锁定,password_lock_time秒后被自动解锁。 例如,登录时输入密码失败,ALTER USER时修改密码失败等。

参数类型:SIGHUP

取值范围:整型,0~1000

  • 0表示自动锁定功能不生效。
  • 正整数表示当错误密码次数达到failed_login_attempts设定的值时,当前账户将被锁定。

默认值:10

  • failed_login_attempts和#ZH-CN_TOPIC_0000001188163626/s943fe3c453f648fb958919ab0aa2b08b必须都为正数时锁定和解锁功能才能生效。
  • failed_login_attempts会与客户端SSL连接模式共同决定用户的密码错误次数。当PGSSLMODE取值是allow或prefer时,客户的一次密码连接请求会生成两次连接请求:一次是尝试SSL连接,另一次是尝试非SSL连接。此时,用户感知到的密码错误次数是failed_login_attempts除以2。

相关文档