我不敢苟同... 说实话， 第一次在生产环境里敲下 postgresql.conf 那行代码时我的心脏几乎要跳出胸腔。那种既兴奋又紧张的感觉，让我明白：平安不是装饰品，而是血肉相连的底层血管。下面这篇文章， 就像一把细致入微的手术刀，帮你一步步剥开风险的外壳，让 PostgreSQL 在 Ubuntu 上安然呼吸。

一、 先把防火墙砌好墙——UFW 基础设置

Ubuntu 默认自带 UFW，它虽然名字叫“简单”，但功能却不容小觑。先把 5432 端口打开， 调整一下。 再一步步收紧规则，才能让外部合法流量顺畅进出。

# 开放默认 PostgreSQL 端口
sudo ufw allow 5432/tcp
# 检查规则是否生效
sudo ufw status verbose

如果你想隐藏真实端口， 可以把默认 5432 改成别的数字，再相应地放行新端口：

# 假设改为 5437
sudo ufw allow 5437/tcp
sudo ufw delete allow 5432/tcp

常见防火墙规则对比表

二、 让 PostgreSQL 听得见外面的呼喊——listen_addresses 调整

好吧... listen_addresses = '*' 是很多新手第一眼就看到的配置，但它真的平安么？答案是：不一定。

• *: 接受任意 IP 的连接请求，便利却易被滥用。
• 指定 IP 列表: 如 “192.168.10.15,10.0.0.8”， 只允许特定机器接入，是更稳妥的做法。
• 空值: 完全不监听网络，仅本机可用。

编辑配置文件：

# 打开主配置文件
sudo nano /etc/postgresql/16/main/postgresql.conf
# 找到 listen_addresses 行， 修改为：
listen_addresses = '192.168.10.%'   # 示例：只接受同网段机器
# 或者：
listen_addresses = '*'               # 万能钥匙

总的来说... 小贴士：修改完后记得保存并退出，否则后面的一切努力都将付之东流。

三、客户端认证大门——pg_hba.conf 精细化管理

The most important gatekeeper is file named /etc/postgresql//main/pg_hba.conf. It's where you decide who can knock, how y prove mselves, and wher y get in.

# 示例：仅允许局域网内使用 md5 加密密码登录
host all all 192\.168\.10\.0/24 md5
# 示例：拒绝所有来自外部的连接
host all all 0.0.0.0/0 reject
# 示例：允许特定应用服务器使用 trust
host all all 10.1.5.23/32 trust

⚠️ 切勿随意使用trust, 那是给黑客送上免检通道！每次改动后务必施行：，啊这...

# 重启服务使规则生效
sudo systemctl restart postgresql
# 检查日志确认没有报错
journalctl -u postgresql -f

四、 给数据传输披上 SSL 外衣——开启加密通信

PGAudit 和 SSL 就像是夜间巡逻的警犬和防弹玻璃，你可以单靠其中一个，但两者一起才是真正的铁壁铜墙。

# 创建证书目录
sudo mkdir -p /etc/postgresql/ssl
# 使用 OpenSSL 一键生成证书和私钥
sudo openssl req -new -x509 -days 365 -nodes \
   -out /etc/postgresql/ssl/server.crt \
   -keyout /etc/postgresql/ssl/server.key \
   -subj "/C=CN/ST=Beijing/L=Beijing/O=MyCompany/OU=IT/CN=db.mycompany.com"
# 限制私钥权限，仅 postgres 可读
sudo chown postgres:postgres /etc/postgresql/ssl/server.*
sudo chmod 600 /etc/postgresql/ssl/server.key

# 打开 SSL 支持并指向证书路径
ssl = on
ssl_cert_file = '/etc/postpostgresql/ssl/server.crt'
ssl_key_file = '/etc/postpostgresql/ssl/server.key'
# 推荐强制客户端校验证书链
ssl_ca_file = '/etc/postpostgresql/ssl/root.crt'
require_ssl = on          # 强制所有连接必须走 SSL

# 从远程机器尝试加密连接
psql "host=your.server.com port=5432 dbname=postgres user=postgres sslmode=require"
# 若能成功登录且没有报 “SSL is not enabled” 则说明已经完成。

五、审计与日志——看得见的足迹才是硬核防御

AUDIT 插件可以帮助我们追踪谁在何时何地做了什么操作。一旦出现异常行为，有据可查，事后追责也会轻松许多，原来小丑是我。。

# apt install postgresql-16-pgaudit   # 根据实际版本替换数字 
sudo apt-get install pgaudit13      # Debian 系列常见写法 

# 添加到 postgresql.conf 
shared_preload_libraries = 'pgaudit' 
# 配置审计级别 
pgaudit.log = 'all' 
重启后检查日志目录  是否出现 audit.log 文件。 

六、 系统层面的硬化措施——别让 OS 成了破绽入口

如 telnet、ftp，这些明目张胆的不平安协议会让攻击者有机可乘。施行 # 查看运行中的服务 systemctl list-unit-files --type=service | grep enabled，PTSD了...

干就完了！ sudo systemctl stop telnet.service sudo systemctl disable telnet.service 保持系统精简，就是给黑客少留入口。

# 编辑 /etc/ssh/sshd_config  
PermitRootLogin no  
PasswordAuntication no  
AllowUsers dbadmin@192\.168\.10\.\*  
重启 sshd 生效：

bash 
sudo systemctl reload sshd 
定期更新补丁： PostgreSQL 本身以及底层库都会发布平安补丁， 养成每周一次) 的好习惯，比起“等到漏洞被利用再补救”，明摆着更省心。
文件系统权限锁定： 
确保数据目录只对 postgres 用户可读写：
# 查看目录权限 
ls -ld /var/lib/postgresql/* 
sudo chown -R postgres:postgres /var/lib/postgresql/16/main 
chmod 700 /var/lib/postgresql/16/main 
开启内核参数限制： 如 sysctl 配置 net.ipv4.tcp_syncookies=1 防止 SYN 洪水攻击；sysctl -w vm.swappiness=10 减少磁盘交换对性能影响。
监控告警体系： 配合 Promeus + Grafana 把 pg_exporter 拉进来 一旦出现异常连接数激增或 CPU 飙升，就会立刻报警。
              

©2026 MyTechBlog | 保留所有权利
本文仅供学习交流，实际生产环境请结合自身业务情况谨慎实施。


||

}
}
}
}
}
}
}
}
}
}
}
}
}