Scenario: autenticazione del server PostgreSQL

Assistenza tecnica

Assistenza tecnica per clienti business

Kaspersky Security Center 15 Linux

Operazioni preliminari

Installazione

Scenario: autenticazione del server PostgreSQL

6 maggio 2024

ID 257050

Salva come PDF

Espandi tutto | Comprimi tutto

Si consiglia di utilizzare un certificato TLS per autenticare il server PostgreSQL. È possibile utilizzare un certificato di un'autorità di certificazione attendibile o un certificato autofirmato. Utilizzare un certificato di un'autorità di certificazione attendibile perché un certificato autofirmato fornisce solo una protezione limitata.

Administration Server supporta l'autenticazione SSL unidirezionale e bidirezionale per PostgreSQL.

Seguire questi passaggi per configurare l'autenticazione SSL per PostgreSQL:

Generare un certificato per il server PostgreSQL.
Eseguire i seguenti comandi:

openssl req -new -x509 -days 365 -nodes -text -out psql.crt -keyout psql.key -subj "/CN=psql"

chmod og-rwx psql.key
Generare un certificato per Administration Server.
Eseguire i seguenti comandi. Il valore CN deve corrispondere al nome dell'utente che si connette a PostgreSQL per conto di Administration Server. Il nome utente è impostato su postgres per impostazione predefinita.

openssl req -new -x509 -days 365 -nodes -text -out postgres.crt -keyout postgres.key -subj "/CN=postgres"

chmod og-rwx postgres.key
Configurare l'autenticazione del certificato client.
Modificare pg_hba.conf come segue:

hostssl all all 0.0.0.0/0 md5

Assicurarsi che pg_hba.conf non includa un record che inizia con host.
Specificare il certificato PostgreSQL.
Autenticazione SSL unidirezionale

Modificare postgresql.conf come segue (specificare il percorso corretto dei file .crt e .key):

listen_addresses ='*'

ssl = on

ssl_cert_file = 'psql.crt'

ssl_key_file = 'psql.key'

Autenticazione SSL bidirezionale

Modificare postgresql.conf come segue (specificare il percorso corretto dei file .crt e .key):

listen_addresses ='*'

ssl = on

ssl_ca_file = '<postgres.crt>'

ssl_cert_file = '<psql.crt>'

ssl_key_file = '<psql.key>'
Riavviare il daemon PostgreSQL.
Eseguire il seguente comando:

systemctl restart postgresql-14.service
Specificare il flag del server per Administration Server.
Autenticazione SSL unidirezionale

Passare alla directory ServerFlags e creare un file che corrisponda al flag del server KLSRV_POSTGRES_OPT_SSL_CA:

cd /etc/opt/kaspersky/klnagent_srv/1093/1.0.0.0/ServerFlags/

mkfile KLSRV_POSTGRES_OPT_SSL_CA

Nel file creato, specificare il percorso del file psql.crt.

Autenticazione SSL bidirezionale
Passare alla directory ServerFlags e creare i file che corrispondono ai flag del server:

cd /etc/opt/kaspersky/klnagent_srv/1093/1.0.0.0/ServerFlags/

mkfile KLSRV_POSTGRES_OPT_SSL_CA

mkfile KLSRV_POSTGRES_OPT_SSL_CERT

mkfile KLSRV_POSTGRES_OPT_SSL_KEY

Modificare i file creati come segue:
- KLSRV_POSTGRES_OPT_SSL_CA: specificare il percorso del file psql.crt.
- KLSRV_POSTGRES_OPT_SSL_CERT: specificare il percorso del file postgres.crt.
- KLSRV_POSTGRES_OPT_SSL_KEY: specificare il percorso del file postgres.key.
Se postgres.key richiede una passphrase, creare un file KLSRV_POSTGRES_OPT_TLS_PASPHRASE nella cartella ServerFlags e specificare la relativa passphrase.
Riavviare il servizio Administration Server.

Kaspersky Endpoint Security for Linux: High protection without performance compromising

Detects and blocks advanced threats. Buy as part of Endpoint Security for Business Advanced.

Kaspersky Premium Support (MSA): High‑priority incident processing

Telephone and web ticket support. Fast response, monitoring and health check. Submit a request and activate the contract (MSA).

Hai trovato utile questo articolo?

Cosa pensi che potremmo migliorare?

Grazie per il feedback! Ci stai aiutando a migliorare.