类型: string
默认: HIGH:MEDIUM:+3DES:!aNULL
上下文: sighup
重新开始: false

指定一个SSL密码列表,用于安全连接。这个设置的语法和所支持的值列表可以 参见OpenSSL包中的 ciphers手册页。这个参数只能在postgresql.conf文件中或者服务器命令行上设置。默认值是 HIGH:MEDIUM:+3DES:!aNULL。默认值通常是一种合理的选择,除非用户有特定的安全性需求。

默认值的解释: HIGH

  • 使用来自HIGH组的密码的密码组(例如 AES, Camellia, 3DES)

  • MEDIUM
  • 使用来自MEDIUM组的密码的密码组(例如 RC4, SEED)

  • +3DES
  • OpenSSL 对HIGH的默认排序是有问题的,因为它认为 3DES 比 AES128 更高。这是错误的,因为 3DES 提供的安全性比 AES128 低,并且它也更加慢。 +3DES把它重新排序在所有其他HIGHMEDIUM密码之后。

  • !aNULL
  • 禁用不做认证的匿名密码组。这类密码组容易收到中间人攻击,因此不应被使用。

  • 可用的密码组细节可能会随着 OpenSSL 版本变化。可使用命令 openssl ciphers -v 'HIGH:MEDIUM:+3DES:!aNULL'来查看 当前安装的OpenSSL版本的实际细节。注意这个列表是根据服务器密钥类型 在运行时过滤过的。

    建议 [EN]

    Allows DBAs to require “strong enough” or preset ciphers for SSL connections. If you have not compiled SSL support, this parameter will not be available.

    条评论