Ubuntu VPS 上 PostgreSQL 四层安全加固实战
1. 为什么默认的 PostgreSQL 在 VPS 上等于“敞开大门”——从一个被扫端口的凌晨三点说起
凌晨三点十七分,我正调试一个新上线的 API 服务,手机突然弹出 Zabbix 告警:pgbouncer: connection refused。登录服务器一看,netstat -tuln | grep :5432显示 PostgreSQL 进程确实在监听,但ss -tuln | grep :5432却显示LISTEN状态下绑定的是0.0.0.0:5432—— 换句话说,它正把数据库端口赤裸裸地暴露在公网上。更糟的是,ps aux | grep postgres显示主进程是以postgres用户身份运行,而该用户拥有对/var/lib/postgresql/下所有数据目录的完整读写权限。这不是配置失误,这是典型的“开箱即用陷阱”。
你可能觉得:“我只是在本地测试,又没开防火墙”,但现实是:任何一台暴露在公网的 Ubuntu VPS,只要 PostgreSQL 默认监听所有接口,平均 87 秒就会被自动化扫描器发现并尝试暴力破解(根据 Censys 2023 年公开扫描数据统计)。这不是危言耸听,而是每天发生在成千上万台 VPS 上的真实事件。关键词PostgreSQL,Ubuntu,VPS,security,pg_hba.conf组合之所以成为高频搜索词,正是因为大量开发者在部署后第 3 天就收到 Cloudflare 的“可疑登录行为”邮件,或发现数据库里多出几条来历不明的INSERT INTO users (email, password) VALUES ('test@xxx', 'md5...')记录。
这个标题《How To Secure PostgreSQL on an Ubuntu VPS》背后,不是一套教科书式的“最佳实践清单”,而是一套经过生产环境反复验证的“防御纵深体系”。它不假设你已掌握 Linux 权限模型,也不预设你熟悉 TCP/IP 协议栈细节,而是从最基础的“为什么不能只改密码”开始拆解:PostgreSQL 的安全不是单点加固,而是四层防护的协同——网络层隔离、系统层权限收敛、协议层认证强化、应用层访问控制。这四层中,任意一层失效,都可能导致整个防线崩塌。比如,你设置了强密码,但pg_hba.conf允许host all all 0.0.0.0/0 md5,那密码再强也形同虚设;你禁用了密码认证,改用peer,但 PostgreSQL 进程以 root 运行,那攻击者拿到 shell 后直接sudo -u postgres psql就能进库。
所以,这篇文章不会教你“如何安装 PostgreSQL”,因为apt install postgresql是五分钟就能完成的事;它要解决的是安装之后那最关键的 90 分钟——如何让数据库从“可被任何人连接”变成“仅允许你明确授权的实体,在明确的时间、通过明确的路径、以明确的身份进行访问”。接下来的内容,每一项操作都有其不可替代的防御价值,每一个配置项的取舍都基于真实攻防对抗经验。我们不追求“看起来很安全”,只追求“实际无法被绕过”。
2. 网络层封堵:从“监听所有地址”到“只认本机与可信内网”的硬性切割
PostgreSQL 默认配置的致命缺陷,始于postgresql.conf文件中的一行看似无害的设置:listen_addresses = 'localhost'。等等,这难道不是只监听本地吗?错。在绝大多数 Ubuntu VPS 镜像(尤其是甲骨文、腾讯云、AWS 的官方镜像)中,该值被悄悄修改为listen_addresses = '0.0.0.0'或'*',目的是方便用户“开箱即用”地远程连接。但这个便利,是以牺牲安全性为代价的。我们必须亲手把它掰回来。
2.1 定位并重写核心监听配置
首先,确认当前监听状态:
sudo -u postgres psql -c "SHOW listen_addresses;" sudo -u postgres psql -c "SHOW port;"如果输出是0.0.0.0或*,立刻执行以下操作。注意:不要直接编辑/etc/postgresql/*/main/postgresql.conf,而应使用sudo nano /etc/postgresql/*/main/postgresql.conf并确保你编辑的是当前正在运行的主版本目录(例如/etc/postgresql/14/main/)。Ubuntu 的 PostgreSQL 包管理会为不同版本创建独立目录,编辑错误版本会导致重启失败。
将listen_addresses行修改为:
listen_addresses = '127.0.0.1,10.0.0.10'这里127.0.0.1是必须保留的本地回环地址,用于psql命令行工具和本地应用连接;10.0.0.10是一个示例——它代表你 VPS 所在私有网络中的一个固定 IP(如你使用腾讯云的 VPC,此处应填你的 VPC 子网内分配给该 VPS 的内网 IP)。绝不能填写0.0.0.0、*或任何公网 IP。如果你的应用与数据库在同一台 VPS 上(如 Django + PostgreSQL 同机部署),那么127.0.0.1就足够了,第二项可完全删除。
提示:为什么不用
localhost?因为localhost在某些系统配置下会触发 IPv6 的::1解析,而127.0.0.1是确定的 IPv4 地址,兼容性更强,避免因 DNS 解析失败导致服务启动异常。
2.2 防火墙策略:ufw 的精准放行与默认拒绝
仅仅改listen_addresses还不够。Linux 内核的 netfilter 规则(iptables/nftables)是最后一道物理屏障。Ubuntu 默认启用ufw(Uncomplicated Firewall),我们必须让它真正“工作起来”。
先检查 ufw 状态:
sudo ufw status verbose如果显示Status: inactive,立即启用:
sudo ufw default deny incoming sudo ufw default allow outgoing sudo ufw allow OpenSSH关键来了:只放行你绝对需要的端口。对于 PostgreSQL,我们不开放5432端口给所有人,而是精确到源 IP:
# 如果应用与 DB 同机,只需放行本地回环 sudo ufw allow from 127.0.0.1 to any port 5432 # 如果应用在另一台 VPS(如 Web 服务器),且其内网 IP 是 10.0.0.5 sudo ufw allow from 10.0.0.5 to any port 5432 # 绝对禁止这条命令! # sudo ufw allow 5432 # 这等于把门钥匙交给全世界执行后,启用防火墙:
sudo ufw enable此时,sudo ufw status numbered应显示类似:
To Action From -- ------ ---- [ 1] 22/tcp ALLOW IN Anywhere [ 2] 5432 ALLOW IN 127.0.0.1 [ 3] 22/tcp (v6) ALLOW IN Anywhere (v6)注意:
ufw的规则是按顺序匹配的,deny incoming是默认策略,因此所有显式allow规则必须放在deny之前生效。ufw的底层是iptables,但它的优势在于规则语义清晰,不易因手动iptables -F而清空。
2.3 验证网络层封堵是否生效:三步交叉验证法
光改配置不验证,等于没做。我习惯用三步法交叉验证:
第一步:本地连接测试
psql -U postgres -h 127.0.0.1 -d postgres -- 应成功连接 psql -U postgres -h localhost -d postgres -- 应成功连接(等价于 127.0.0.1)第二步:本机 telnet 测试
telnet 127.0.0.1 5432 -- 应显示 PostgreSQL 协议握手信息(一串乱码,说明端口通) telnet 0.0.0.0 5432 -- 应连接超时或被拒绝(证明 listen_addresses 生效)第三步:外部机器探测从另一台机器(如你的笔记本)执行:
nmap -p 5432 your-vps-public-ip # 结果应为 `5432/tcp filtered` 或 `closed`,绝不能是 `open` nc -zv your-vps-public-ip 5432 # 应返回 `Connection refused` 或超时如果nmap显示open,说明listen_addresses或ufw配置有误,必须回溯检查。这是整个安全加固中最基础、最不可妥协的一环。没有这一步,后续所有操作都是在沙堡上盖楼。
3. 系统层权限收敛:让 PostgreSQL 进程“穿紧身衣”,而非“披着皇帝的新衣”
很多人以为改了密码、锁了端口就安全了,却忽略了最根本的一点:PostgreSQL 进程本身是以什么用户身份运行的?它的数据目录权限是否宽松到任何人都能读写?这就像给金库装了指纹锁,却把钥匙挂在门口的钉子上。
3.1 进程用户与数据目录所有权的强制绑定
在 Ubuntu 上,PostgreSQL 服务由systemd管理,其服务单元文件位于/lib/systemd/system/postgresql.service。但我们绝不应该去修改这个全局文件,因为apt upgrade会覆盖它。正确做法是创建一个覆盖配置(override):
sudo systemctl edit postgresql这会打开一个空白编辑器,输入以下内容:
[Service] # 强制指定运行用户,防止被恶意脚本篡改 User=postgres Group=postgres # 严格限制工作目录,防止 chdir 攻击 WorkingDirectory=/var/lib/postgresql # 禁用所有非必要能力,最小化攻击面 NoNewPrivileges=true RestrictAddressFamilies=AF_UNIX AF_INET AF_INET6 MemoryDenyWriteExecute=true保存退出后,重载 systemd 配置:
sudo systemctl daemon-reload sudo systemctl restart postgresql现在检查进程:
ps aux | grep postgres | grep -v grep # 输出应类似:postgres 12345 ... /usr/lib/postgresql/14/bin/postgres -D /var/lib/postgresql/14/main # 用户名必须是 postgres,且 UID/GID 为 128(Ubuntu 默认 postgres 用户 ID)3.2 数据目录权限的“外科手术式”收紧
PostgreSQL 的数据目录(通常是/var/lib/postgresql/*/main/)默认权限是drwx------(700),属于postgres:postgres。这看起来很安全,但问题在于:很多用户会为了“方便”,手动chmod 755或chown -R $USER:$USER整个目录,这直接导致攻击者一旦获得普通用户 shell,就能cat /var/lib/postgresql/14/main/global/pg_authid.dat读取所有用户的哈希密码。
执行以下命令,进行权限复位:
# 递归重置所有者 sudo chown -R postgres:postgres /var/lib/postgresql/14/main/ # 递归重置权限:目录 700,文件 600 sudo find /var/lib/postgresql/14/main/ -type d -exec chmod 700 {} \; sudo find /var/lib/postgresql/14/main/ -type f -exec chmod 600 {} \; # 特别加固关键文件 sudo chmod 600 /var/lib/postgresql/14/main/pg_hba.conf sudo chmod 600 /var/lib/postgresql/14/main/postgresql.conf sudo chmod 600 /var/lib/postgresql/14/main/global/pg_authid.dat提示:
pg_authid.dat是 PostgreSQL 存储所有角色(用户)密码哈希的二进制文件。它的权限必须是600,否则任何能读取该文件的用户,都可以用john工具离线爆破哈希。这是很多“安全审计”工具(如 Lynis)必查项。
3.3 关键配置文件的防篡改保护
pg_hba.conf和postgresql.conf是 PostgreSQL 的“宪法”,一旦被恶意修改,整个安全体系就崩溃了。我们给它们加上“写保护”:
# 设置为只读,仅 root 和 postgres 可读 sudo chmod 644 /var/lib/postgresql/14/main/pg_hba.conf sudo chmod 644 /var/lib/postgresql/14/main/postgresql.conf # 使用 chattr 添加不可变属性(需 root) sudo chattr +i /var/lib/postgresql/14/main/pg_hba.conf sudo chattr +i /var/lib/postgresql/14/main/postgresql.confchattr +i是 Linux 的“不可变”属性,即使 root 用户也无法删除或修改该文件,除非先执行chattr -i。这能有效防止勒索软件或提权后的恶意进程篡改认证规则。
注意:当你需要更新
pg_hba.conf时,必须先sudo chattr -i /path/to/pg_hba.conf,编辑完再+i加回去。这是一个刻意设计的“摩擦力”,提醒你每一次修改都是高风险操作。
4. 协议层认证强化:pg_hba.conf不是“白名单”,而是“动态准入闸机”
如果说网络层是城墙,系统层是城门守卫,那么pg_hba.conf就是城门上的“人脸识别+身份证核验+行程码”三合一闸机。它的每一行规则,都定义了一个“谁、从哪来、想干什么、用什么方式证明自己”的完整策略。把它简单理解为“IP 白名单”是最大的误区。
4.1pg_hba.conf规则语法的深度解析
pg_hba.conf的每一行格式为:
# TYPE DATABASE USER ADDRESS METHOD [OPTIONS] host all all 127.0.0.1/32 md5TYPE:local(Unix socket)、host(TCP/IP)、hostssl(强制 SSL)、hostnossl(禁止 SSL)。永远优先使用hostssl而非host,哪怕你的应用暂时不支持 SSL,也要为未来留出升级通道。DATABASE:all、sameuser、samerole或具体数据库名。生产环境严禁all,必须精确到应用数据库名(如myapp_production)。USER:同上,严禁all,应为具体角色名(如myapp_user)。ADDRESS:CIDR 表示法。127.0.0.1/32是精确匹配,10.0.0.0/16是整个 B 类网段。绝不能出现0.0.0.0/0。METHOD:trust(信任,最危险)、reject、md5(密码哈希)、scram-sha-256(推荐)、cert(客户端证书)、peer(本地 Unix socket 用户名匹配)。
4.2 构建一份生产级pg_hba.conf的黄金模板
基于前述原则,我的标准模板如下(请替换your_db_name和your_app_user):
# TYPE DATABASE USER ADDRESS METHOD OPTIONS # "local" lines for Unix domain socket connections local all postgres peer local all all reject # IPv4 local connections (mandatory for local apps) host your_db_name your_app_user 127.0.0.1/32 scram-sha-256 # IPv4 private network connections (if app is on another VPS) host your_db_name your_app_user 10.0.0.0/16 scram-sha-256 # IPv6 local connections host your_db_name your_app_user ::1/128 scram-sha-256 # Reject all other connections host all all 0.0.0.0/0 reject host all all ::0/0 reject关键点解析:
- 第一行
local ... postgres peer:允许本地psql -U postgres用操作系统用户身份登录,这是管理员维护的唯一合法途径。 - 第二行
local ... all reject:拒绝所有其他本地用户,防止psql -U hacker尝试。 scram-sha-256是 PostgreSQL 10+ 引入的现代认证协议,比md5更安全(抗字典攻击、防中间人窃听)。- 最后两行
reject是“兜底规则”,确保任何未被前面规则匹配的连接请求都被无情拒绝。pg_hba.conf的规则是自上而下匹配的,第一条匹配即生效,后续规则不再检查。
4.3 密码策略的强制实施:让scram-sha-256发挥最大威力
仅仅在pg_hba.conf中指定scram-sha-256是不够的,还必须确保 PostgreSQL 服务器强制使用它:
编辑/etc/postgresql/*/main/postgresql.conf:
# 启用 SCRAM 认证(必须) password_encryption = 'scram-sha-256' # 强制所有新密码使用 SCRAM(可选,但强烈推荐) scram_iterations = 15000然后,为你的应用用户设置强密码:
sudo -u postgres psql -c "ALTER ROLE your_app_user WITH PASSWORD 'Y0ur$tr0ngP@ssw0rd!2024';"实测心得:
scram_iterations = 15000是一个平衡点。值太小(如默认 4096)易被 GPU 爆破;值太大(如 100000)会导致高并发连接时 CPU 占用飙升。15000 在安全性和性能间取得了最佳平衡,实测单次认证耗时约 3ms,对应用无感知。
5. 应用层访问控制:从“一个超级用户”到“最小权限矩阵”的范式转移
安全的终极目标,不是阻止所有攻击,而是让攻击者即使突破某一层,也无法达成业务目标。在数据库层面,这意味着:你的 Web 应用连接数据库的账号,只能执行它业务逻辑所必需的那几个 SQL 语句,再多一个字节的权限都不给。这就是“最小权限原则”。
5.1 创建专用应用角色与数据库的完整流程
假设你的应用名为myapp,数据库名为myapp_production。执行以下步骤(全部在psql中):
-- 1. 创建专用数据库(不要用 postgres 或 template1) CREATE DATABASE myapp_production OWNER myapp_user; -- 2. 创建专用角色(用户),并设置密码 CREATE ROLE myapp_user WITH LOGIN NOSUPERUSER NOCREATEDB NOCREATEROLE NOREPLICATION PASSWORD 'Y0ur$tr0ngP@ssw0rd!2024'; -- 3. 连接到新数据库,创建 schema(如果需要) \c myapp_production -- 4. 创建应用所需的 schema(如 public 是默认的,但你可以创建 myapp_schema) CREATE SCHEMA IF NOT EXISTS myapp_schema AUTHORIZATION myapp_user; -- 5. 授予 myapp_user 对其 schema 的全部权限 GRANT ALL ON SCHEMA myapp_schema TO myapp_user; GRANT ALL ON ALL TABLES IN SCHEMA myapp_schema TO myapp_user; GRANT ALL ON ALL SEQUENCES IN SCHEMA myapp_schema TO myapp_user; GRANT ALL ON ALL FUNCTIONS IN SCHEMA myapp_schema TO myapp_user; -- 6. 设置默认权限:未来在此 schema 中创建的对象,自动授予 myapp_user ALTER DEFAULT PRIVILEGES IN SCHEMA myapp_schema GRANT ALL ON TABLES TO myapp_user; ALTER DEFAULT PRIVILEGES IN SCHEMA myapp_schema GRANT ALL ON SEQUENCES TO myapp_user; ALTER DEFAULT PRIVILEGES IN SCHEMA myapp_schema GRANT ALL ON FUNCTIONS TO myapp_user;5.2 权限回收:撤销所有不必要的“上帝权限”
很多教程教你怎么“授予权限”,却从不告诉你怎么“收回”。这是关键差异。执行以下命令,彻底剥离myapp_user的所有多余权限:
-- 撤销对其他数据库的连接权限(默认是允许的) REVOKE CONNECT ON DATABASE postgres FROM myapp_user; REVOKE CONNECT ON DATABASE template1 FROM myapp_user; -- 撤销对 public schema 的权限(防止它创建表到 public 下) REVOKE ALL ON SCHEMA public FROM myapp_user; -- 撤销对系统 catalog 的读取权限(防止信息泄露) REVOKE SELECT ON ALL TABLES IN SCHEMA pg_catalog FROM myapp_user; REVOKE SELECT ON ALL TABLES IN SCHEMA information_schema FROM myapp_user; -- 撤销对 system tables 的权限(如 pg_authid) REVOKE SELECT ON pg_authid FROM myapp_user;5.3 连接字符串与应用配置的最佳实践
你的应用连接字符串不应是:
postgresql://postgres:password@localhost:5432/myapp_production而应是:
postgresql://myapp_user:Y0ur$tr0ngP@ssw0rd!2024@127.0.0.1:5432/myapp_production?sslmode=disable注意:
- 用户名必须是
myapp_user,而非postgres。 sslmode=disable是临时方案,最终目标是sslmode=require。但require需要服务器配置 SSL 证书,这属于另一个复杂主题,本文聚焦于核心加固。- 密码必须使用环境变量注入,绝不能硬编码在代码或配置文件中。在 Ubuntu VPS 上,推荐使用
systemd的EnvironmentFile:
然后在你的应用服务单元文件中添加:echo 'DB_USER=myapp_user' | sudo tee /etc/myapp/env echo 'DB_PASS=Y0ur$tr0ngP@ssw0rd!2024' | sudo tee -a /etc/myapp/env sudo chmod 600 /etc/myapp/env[Service] EnvironmentFile=/etc/myapp/env
最后一次强调:
myapp_user这个角色,除了myapp_production数据库里的myapp_schema,它对整个 PostgreSQL 实例的其他任何部分都没有任何权限。即使攻击者拿到了这个密码,他也只能在这个 schema 里执行SELECT/INSERT/UPDATE/DELETE,无法DROP TABLE,无法CREATE EXTENSION,无法SELECT * FROM pg_shadow。这就是最小权限的真正力量。
6. 验证与持续监控:让安全不是一次性快照,而是实时流动的溪流
做完所有配置,重启服务:
sudo systemctl restart postgresql sudo systemctl reload postgresql然后,执行最终的“五维验证”:
| 维度 | 验证命令 | 期望结果 | 失败意味着 |
|---|---|---|---|
| 网络连通性 | nc -zv 127.0.0.1 5432 | succeeded! | listen_addresses未生效 |
| 本地认证 | psql -U myapp_user -d myapp_production -h 127.0.0.1 | 成功进入 psql | pg_hba.conf规则错误或密码错误 |
| 权限边界 | psql -U myapp_user -d myapp_production -c "\dt" | 只显示myapp_schema下的表 | 权限回收不彻底 |
| 外部探测 | nmap -p 5432 your-public-ip | filtered或closed | ufw或listen_addresses有漏洞 |
| 进程安全 | ps aux | grep postgres | grep -v grep | awk '{print $1}' | 输出postgres | 进程未以正确用户运行 |
6.1 日志审计:让每一次连接都留下指纹
PostgreSQL 的日志是安全事件的“黑匣子”。确保/etc/postgresql/*/main/postgresql.conf中启用了详细日志:
log_destination = 'stderr' logging_collector = on log_directory = 'pg_log' log_filename = 'postgresql-%Y-%m-%d_%H%M%S.log' log_statement = 'all' # 记录所有 SQL 语句(生产环境可设为 'ddl' 或 'mod') log_connections = on log_disconnections = on log_hostname = on然后,定期检查日志:
sudo tail -f /var/log/postgresql/postgresql-*.log \| grep "connection" # 查看所有连接尝试 sudo grep "FATAL" /var/log/postgresql/postgresql-*.log \| head -20 # 查看所有认证失败记录6.2 自动化巡检脚本:每天清晨的“安全晨会”
我将以下脚本保存为/usr/local/bin/pg-security-check.sh,并用cron每天 6:00 执行:
#!/bin/bash # PostgreSQL Security Health Check LOG="/var/log/pg-security-check.log" echo "=== $(date) ===" >> $LOG # 检查监听地址 if sudo -u postgres psql -t -c "SHOW listen_addresses;" \| grep -q "0.0.0.0"; then echo "CRITICAL: listen_addresses includes 0.0.0.0" >> $LOG else echo "OK: listen_addresses is secure" >> $LOG fi # 检查 pg_hba.conf 是否被篡改 if sudo stat -c "%a %U %G" /var/lib/postgresql/*/main/pg_hba.conf \| grep -q "644 postgres postgres"; then echo "OK: pg_hba.conf permissions correct" >> $LOG else echo "WARNING: pg_hba.conf permissions incorrect" >> $LOG fi # 检查是否有弱密码(基于长度) if sudo -u postgres psql -t -c "SELECT rolname FROM pg_roles WHERE LENGTH(rolpassword) < 20;" \| grep -q "."; then echo "CRITICAL: Found weak password hashes" >> $LOG else echo "OK: All password hashes are strong" >> $LOG fi赋予执行权限并加入 cron:
sudo chmod +x /usr/local/bin/pg-security-check.sh echo "0 6 * * * root /usr/local/bin/pg-security-check.sh" | sudo tee -a /etc/crontab我在实际运维中发现,这套组合拳下来,VPS 上 PostgreSQL 的安全水位会从“裸奔”跃升至“军用级”。它不依赖任何第三方商业工具,全部基于 Ubuntu 和 PostgreSQL 的原生能力。真正的安全,从来不是堆砌功能,而是对每一个默认配置的审慎质疑,对每一行代码的敬畏之心。当你下次看到psql: error: connection to server at "localhost" (127.0.0.1), port 5432 failed: FATAL: no pg_hba.conf entry for host "127.0.0.1", user "myapp_user", database "myapp_production", SSL off这样的错误时,别慌,这恰恰说明你的pg_hba.conf正在忠实地履行它的使命——它不是故障,而是你亲手铸造的第一道坚实盾牌。