17.10. TCP/IP 와이즈 토토 보안SSH터널

사용할 수 있습니다SSH클라이언트와 A 간의 네트워크 와이즈 토토을 암호화하려면PostgreSQL서버. 제대로 수행하면 SSL이 아닌 클라이언트조차도 적절히 안전한 네트워크 와이즈 토토을 제공합니다.

먼저 AN을 확인하십시오.SSH서버는와 동일한 기계에서 올바르게 실행 중입니다.PostgreSQL서버와 사용을 로그인 할 수 있습니다SSH일부 사용자로서; 그런 다음 원격 서버에 안전한 터널을 설정할 수 있습니다.LocalHost주소 또는 원하는 경우 다른 바인드 주소; 로컬 컴퓨터에서 오는 것으로 보이지 않습니다.foo.com:

SSH -L 63333 : LocalHost : 5432 joe@foo.com

의 첫 번째 숫자-l인수, 63333은 터널의 로컬 포트 ​​번호입니다. 사용하지 않은 포트가 될 수 있습니다.LocalHost, 기본값입니다. 두 번째 숫자 인 5432는 터널의 원격 끝입니다 (예 : 데이터베이스 서버가 사용중인 포트 번호).

psql -h localhost -p 63333 postgres

데이터베이스 서버에서는 사용자 인 것처럼 보입니다Joeon hostfoo.com와이즈 토토LocalHost바인드 주소는 해당 바인드 주소에 해당 사용자의 와이즈 토토을 위해 구성된 인증 절차를 사용합니다. 서버는 와이즈 토토이 SSL 암호화되었다고 생각하지 않을 것입니다. 실제로는간에 암호화되지 않기 때문입니다.SSH서버 및PostgreSQL서버. 이것은 같은 기계에 있기 때문에 추가 보안 위험이 없습니다.

터널 설정이 성공하려면를 통해 와이즈 토토할 수 있어야합니다SSHasjoe@foo.com, 마치 사용하려고 시도한 것처럼SSH터미널 세션 생성.

포트 전달을 설정했을 수도 있습니다.

SSH -L 63333 : foo.com : 5432 joe@foo.com

그러나 그러면 데이터베이스 서버는 와이즈 토토이 나오는 것으로 표시됩니다.foo.com기본 설정에 의해 열리지 않은 주소 바인드Listen_Addresses = 'localhost'. 이것은 보통 당신이 원하는 것이 아닙니다.

필요한 경우"홉"일부 로그인 호스트를 통해 데이터베이스 서버를 통해 가능한 한 가지 설정이 다음과 같습니다.

SSH -L 63333 : db.foo.com : 5432 joe@shell.foo.com

이런 식으로 와이즈 토토이shell.foo.comtodb.foo.comSSH 터널에 의해 암호화되지 않습니다. SSH는 네트워크가 다양한 방식으로 제한 될 때 상당히 몇 가지 구성 가능성을 제공합니다.