博士后、django&;通用Web服务器身份验证安全性(pg_hba.conf等)
我正试图用最佳实践和一般安全性来设置我的web服务器,并且已经尽可能多地阅读了 我的服务器正在运行nginx和uwsgi,这两个用户都被设置为作为各自的用户“nginx”和“uwsgi”运行——这两个用户都被设置为无登录,无密码 我的所有应用程序/项目文件夹都以我自己的(非root)用户名和“开发者”组命名。它们被命名为只读 第一个问题) 我的理解是,这是一种很好的做法,因为服务器(uwsgi/nginx)对这些文件没有写访问权限 第二个问题) 我的postgrespg_hba.conf是:博士后、django&;通用Web服务器身份验证安全性(pg_hba.conf等),django,postgresql,web-applications,webserver,Django,Postgresql,Web Applications,Webserver,我正试图用最佳实践和一般安全性来设置我的web服务器,并且已经尽可能多地阅读了 我的服务器正在运行nginx和uwsgi,这两个用户都被设置为作为各自的用户“nginx”和“uwsgi”运行——这两个用户都被设置为无登录,无密码 我的所有应用程序/项目文件夹都以我自己的(非root)用户名和“开发者”组命名。它们被命名为只读 第一个问题) 我的理解是,这是一种很好的做法,因为服务器(uwsgi/nginx)对这些文件没有写访问权限 第二个问题) 我的postgrespg_hba.conf是: l
local all postgres ident sameuser
local appdb appusername password
其中,通过pgsql为特定应用程序设置了appdb和appusername
这是否意味着(unix)用户“postgres”只有在获得ident/unix授权时才能在本地登录
此外,这是否意味着对数据库“dbname”的唯一访问是通过具有正确密码的(psql)用户“dbuser”进行的
**最后部分**
如果我的服务器(uwsgi)在技术上对我的django设置文件(其中包含我的数据库详细信息,包括密码和psql用户名)具有读取权限,这不是安全风险吗
欢迎任何澄清
我还建议服务不是通过密码而是通过本地标识进行连接-如果攻击者通过保存的密码以某种方式获得对设置文件的读取权限(例如,从备份、不安全的传输等),则它可以对数据库执行任何操作。使用ident,它必须能够以特定用户的身份运行代码,这要困难得多