我使用md5哈希密码连接到本地PostgreSQL数据库。
它有效,但我想了解引擎盖下发生的事情 pq 在通过网络发送密码之前是否对密码进行哈希处理?如何将其哈希或将其保留为纯文本?服务器(在pg_hba.conf中)是指定通过连接发送密码的身份验证方法的服务器。
在发送带有密码的连接字符串之前,pq和psql之间是否存在握手?
user := "foo_user"
password := "test"
dbname := "bar"
connectionString := fmt.Sprintf(
"user=%s password=%s dbname=%s",
user,
password,
dbname)
db, err := sql.Open("postgres", connectionString)
用户通过以下方式创建了密码:
ALTER USER foo_user WITH PASSWORD 'test';
并确认密码存储为哈希:
postgres=# SELECT rolname, rolpassword from pg_authid;
rolname | rolpassword
-------------------+-------------------------------------
postgres |
pg_signal_backend |
foo_user | md51083525553eab8f4090ada980d2b86e7
(3 rows)
pg_hba.conf 完全未经修改:
# maintenance (custom daily cronjobs, replication, and similar tasks).
#
# Database administrative login by Unix domain socket
local all postgres peer
# TYPE DATABASE USER ADDRESS METHOD
# "local" is for Unix domain socket connections only
local all all peer
# IPv4 local connections:
host all all 127.0.0.1/32 md5
# IPv6 local connections:
host all all ::1/128 md5
答案 0 :(得分:1)
有两个地方进行密码散列,不应混淆。
为角色设置密码时,会将其与用户名连接,然后进行哈希处理。这是存储在pg_authid中的密码,也就是PostgreSQL使用的实际密码。 PostgreSQL不使用您输入的密码,而是使用它的哈希版本,以防止攻击者窃取您的密码,然后在PostgreSQL之外尝试(如果在多个地方使用相同的密码)。
所以要闯入数据库,你实际上并不需要知道明文密码,“实际”哈希密码就足够了。
有两个地方可以进行散列:
在服务器端,如果您使用
CREATE/ALTER ROLE ... PASSWORD 'mypassword';
这不太好,因为密码是以明文形式通过网络发送的,它可以显示在数据库日志中。
在客户端,如果您使用
CREATE/ALTER ROLE ... PASSWORD 'hashedpassword';
这样做更好,如果您使用psql命令,则\password内部使用它。
在会话身份验证期间,如果为数据库和用户指定的身份验证方法需要它。然后,服务器将使用AuthenticationMD5Password消息响应连接请求(请参阅the documentation)。
客户端然后散列明文密码以获取实际密码,然后再次散列并使用服务器提供的随机“salt”。
服务器以相同的方式对pg_authid的密码进行哈希处理并比较结果。