类型: | string |
默认: | HIGH:MEDIUM:+3DES:!aNULL |
上下文: | sighup |
重新开始: | false |
指定一个SSL密码列表,用于安全连接。这个设置的语法和所支持的值列表可以 参见OpenSSL包中的 ciphers手册页。这个参数只能在postgresql.conf文件中或者服务器命令行上设置。默认值是 HIGH:MEDIUM:+3DES:!aNULL
。默认值通常是一种合理的选择,除非用户有特定的安全性需求。
默认值的解释: HIGH
使用来自HIGH
组的密码的密码组(例如 AES, Camellia, 3DES)
MEDIUM
使用来自MEDIUM
组的密码的密码组(例如 RC4, SEED)
+3DES
OpenSSL 对HIGH
的默认排序是有问题的,因为它认为 3DES 比 AES128 更高。这是错误的,因为 3DES 提供的安全性比 AES128 低,并且它也更加慢。 +3DES
把它重新排序在所有其他HIGH
和 MEDIUM
密码之后。
!aNULL
禁用不做认证的匿名密码组。这类密码组容易收到中间人攻击,因此不应被使用。
可用的密码组细节可能会随着 OpenSSL 版本变化。可使用命令 openssl ciphers -v 'HIGH:MEDIUM:+3DES:!aNULL'
来查看 当前安装的OpenSSL版本的实际细节。注意这个列表是根据服务器密钥类型 在运行时过滤过的。
建议 [EN]
Allows DBAs to require “strong enough” or preset ciphers for SSL connections. If you have not compiled SSL support, this parameter will not be available.