安裝postgresql是一件很簡單的事，但是當(dāng)我第一次安裝了postgresql以后，它的安全設(shè)置曾經(jīng)讓我困擾過一陣，現(xiàn)在我將以我的經(jīng)歷為線索來講述如何配置postgresql的訪問認(rèn)證，postg

安裝postgresql是一件很簡單的事，但是當(dāng)我第一次安裝了postgresql以后，它的安全設(shè)置曾經(jīng)讓我困擾過一陣，現(xiàn)在我將以我的經(jīng)歷為線索來講述如何配置postgresql的訪問認(rèn)證，postgresql的版本是7.3.1，老一點(diǎn)的版本在配置文件上會(huì)有稍許不同，請自己注意區(qū)別。另外，在閱讀中，請注意區(qū)分?jǐn)?shù)據(jù)庫用戶和系統(tǒng)用戶的區(qū)別，以免混淆。
　　
　　postgresql的訪問認(rèn)證配置主要涉及到兩個(gè)主要的配置文件：postgresql.conf和pg_hba.conf。
　　
　　postgresql.conf包含了許多的選項(xiàng)，這些選項(xiàng)控制了postgresql.conf的方方面面，中間影響訪問認(rèn)證的選項(xiàng)是：
　　
　　unix_socket_group
　　
　　設(shè)置 Unix 域套接字的組所有人，（套接字的所有權(quán)用戶總是啟動(dòng) postmaster 的用戶）與 UNIX_SOCKET_PERMISSIONS 選項(xiàng)一起使用可以給這種套接字類型增加額外的訪問控制機(jī)制，缺省時(shí)是一個(gè)空字串，也就是使用當(dāng)前用戶的缺省的組， 這個(gè)選項(xiàng)只能在服務(wù)器啟動(dòng)時(shí)設(shè)置。
　　
　　unix_socket_permissions
　　
　　給 Unix 域套接字設(shè)置訪問權(quán)限，Unix 域套接字使用通常的 Unix 文件系統(tǒng)權(quán)限集。可選的值可以是一個(gè) chmod 和 umask 系統(tǒng)調(diào)用可以接受的數(shù)字模式。（要使用客戶化的八進(jìn)制格式，該數(shù)字必須以 0 （零）開頭）
　　
　　缺省權(quán)限是 0777，意即任何人都可以聯(lián)接，合理的選則可能是0770 （只有用戶和組， 參閱UNIX_SOCKET_GROUP）和 0700 （只有用戶）。（請注意對于 Unix 套接字而言，實(shí)際上只有寫權(quán)限有意義，而且 也沒有辦法設(shè)置或者取消讀或執(zhí)行權(quán)限）
　　
　　這個(gè)選項(xiàng)只能在服務(wù)器啟動(dòng)時(shí)設(shè)置。
　　
　　pg_hba.conf是設(shè)置訪問認(rèn)證的主要文件，格式為每條記錄一行，每行指定一條訪問認(rèn)證。設(shè)定一條訪問認(rèn)證包含了7個(gè)部分：連接方式（type）、數(shù)據(jù)庫（database）、用戶名（user）、ip地址（ip-address）、子網(wǎng)掩碼（ip-mask）、認(rèn)證方法（authentication method）、認(rèn)證配置（authentication-option），以下是這7個(gè)部分的詳細(xì)說明：
　　
　　連接方式（type）
　　
　　連接方式共有三種：local、host、hostssl
　　
　　local
　　
　　這條記錄匹配通過 Unix 域套接字進(jìn)行的聯(lián)接企圖， 沒有這種類型的記錄，就不允許 Unix 域套接字的聯(lián)接。
　　
　　host
　　
　　這條記錄匹配通過 TCP/IP 網(wǎng)絡(luò)進(jìn)行的聯(lián)接嘗試，請注意，除非服務(wù)器是 帶著 -i 選項(xiàng)或者打開了 postgresql.conf 里面的 tcpip_socket 配置參數(shù)集啟動(dòng)的，否則 TCP/IP 聯(lián)接是被禁止掉的。
　　
　　hostssl
　　
　　這條記錄匹配通過在 TCP/IP 上進(jìn)行的 SSL 聯(lián)接企圖， host 記錄可以匹配 SSL 和非 SSL 的聯(lián)接企圖， 但 hostssl 記