我使用md5哈希密码连接到本地PostgreSQL数据库。
它有效,但我想了解引擎盖下发生了什么。 在通过网络发送密码之前,pq是否对密码进行哈希处理?如何将其哈希或将其保留为纯文本?服务器(在pg_hba.conf中)是指定通过连接发送密码的身份验证方法的服务器。
在发送带有密码的连接字符串之前,pq和psql之间是否存在握手?
user := "foo_user"
password := "test"
dbname := "bar"
connectionString := fmt.Sprintf(
"user=%s password=%s dbname=%s",
user,
password,
dbname)
db, err := sql.Open("postgres", connectionString)
用户通过密码创建:
ALTER USER foo_user WITH PASSWORD 'test';
并验证密码是否存储为哈希:
postgres=# SELECT rolname, rolpassword from pg_authid;
rolname | rolpassword
-------------------+-------------------------------------
postgres |
pg_signal_backend |
foo_user | md51083525553eab8f4090ada980d2b86e7
(3 rows)
并且pg_hba.conf完全未修改:
# maintenance (custom daily cronjobs, replication, and similar tasks).
#
# Database administrative login by Unix domain socket
local all postgres peer
# TYPE DATABASE USER ADDRESS METHOD
# "local" is for Unix domain socket connections only
local all all peer
# IPv4 local connections:
host all all 127.0.0.1/32 md5
# IPv6 local connections:
host all all ::1/128 md5
有两个地方进行密码散列,不应混淆。
pg_authid中的密码,这是PostgreSQL使用的实际密码。 PostgreSQL不使用您输入的密码,而是使用它的散列版本,以防止攻击者窃取您的密码,然后在PostgreSQL之外尝试(如果在多个地方使用相同的密码)。
所以要闯入数据库,你实际上并不需要知道明文密码,“实际”哈希密码就足够了。
有两个地方可以进行散列:
在服务器端,如果您使用
CREATE/ALTER ROLE ... PASSWORD 'mypassword';
这不太好,因为密码是以明文形式通过网络发送的,它可以显示在数据库日志中。
在客户端,如果您使用
CREATE/ALTER ROLE ... PASSWORD 'hashedpassword';
这是更好的,如果你使用psql命令,这是\password内部使用的。AuthenticationMD5Password消息响应连接请求(请参阅the documentation)。
然后客户端散列明文密码以获取实际密码,然后使用服务器提供的随机“salt”再次对其进行哈希处理。
服务器以相同的方式散列来自pg_authid的密码并比较结果。