PostgreSQL配置密码复杂度策略

安装完PostgreSQL之后，默认是没有开启密码复杂度，为了数据库安全以及应对等保测评等要求，有时我们需要设置密码复杂度。

PostgreSQL支持通过动态库的方式扩展PG的功能，pg在使用这些功能时需要预加载相关的共享库。而密码复杂度可以通过预加载passwordcheck.so模块实现。

有几种设置可用于将共享库预加载到服务器中，如下：

• local_preload_libraries (string)
• session_preload_libraries (string)
• shared_preload_libraries (string)

下面介绍shared_preload_libraries (string)方式加载passwordcheck.so模块，此模块可以检查密码，如果密码太弱，他会拒绝连接；创建用户或修改用户密码时，强制限制密码的复杂度，限制密码不能重复使用例如密码长度，包含数字，字母，大小写，特殊字符等，同时排除暴力破解字典中的字符串。

1、创建测试用户

CREATE USER AAA WITH PASSWORD '123';--创建用户
ALTER USER AAA WITH PASSWORD '111';--修改用户密码

执行发现，使用简单密码，无论是创建用户还是修改用户密码均可以成功执行。

2、shared_preload_libraries 方式启用passwordcheck.so模块

在PG库的数据目录下（centos默认路径为：/var/lib/pgsql/11/data，windows默认路径为：D:\PostgreSQL\11\data）找到postgresql.conf文件，修改

修改内容行为：shared_preload_libraries = 'passwordcheck'    # (change requires restart)。

修改完成后重启服务服务生效（systemctl restart postgresql-11）。

注意：如果修改不正确会导致数据库服务器无法正常启动，请修改之前做好备份。

3、重启后验证

发现无论在新建用户以及修改用户时候，都对密码提出要求，要求至少8位，必须包含数字和字母。

其他注意事项：

我在Windows系统上，修改完成后所有已有用户均无法登陆（CENTOS上未遇到此种情况），只需要修改PG库的数据目录下（centos默认路径为：/var/lib/pgsql/11/data，windows默认路径为：D:\PostgreSQL\11\data）找到pg_hba.conf文件，修改登陆验证方式。

然后登陆后修改用户的有效期，设置完成后将pg_hba.conf文件恢复即可。

说明：trust为不验证密码；md5为密码认证，另外还有ident（使用操作系统账号）、password（明文密码）、reject（拒绝访问）

有效期不要设置过程，否则可能不生效，可以通过 select * from pg_user 语句查看有效期（valuntil字段）。