Пароль по умолчанию в PostgreSQL: как установить и защитить базу

kirilljsx

В PostgreSQL нет предустановленного пароля для суперюзера postgres. Это сделано для безопасности, но требует ручной настройки сразу после установки. Знание этой особенности помогает быстро подключиться и защитить данные от несанкционированного доступа.

Если вы только ставите PostgreSQL, то часто сталкиваетесь с проблемой входа. По умолчанию используется метод peer или trust, где пароль не нужен локально. Мы разберем, как посмотреть текущие настройки, установить надежный пароль и настроить аутентификацию правильно. Это сэкономит время и повысит безопасность сервера.

Что значит “пароль по умолчанию” в PostgreSQL

PostgreSQL не задает фиксированный пароль для учетной записи postgres при установке. Вместо этого сервер полагается на методы аутентификации из файла pg_hba.conf, такие как peer для локальных подключений на Unix-подобных системах. Это значит, что вы можете войти, переключившись на системного пользователя postgres, без ввода пароля.

На Windows или в Docker поведение отличается: там часто просят задать пароль во время установки или через переменные окружения. Если пароль не установлен, сервер уязвим для атак, особенно при удаленном доступе. Например, хакеры могут эксплуатировать trust-аутентификацию, если файл конфигурации не изменен. Поэтому первый шаг - понять текущий метод и перейти к паролю.

Вот ключевые методы аутентификации:

• peer: Проверяет системного пользователя (только Unix).
• md5: Хэширует пароль MD5 (устаревший, но распространенный).
• scram-sha-256: Современный метод с сильным хэшированием (рекомендуется для PostgreSQL 10+).

Метод	Описание	Уровень безопасности
peer	Использует OS-логин	Средний (локально)
trust	Без пароля	Низкий - не используйте
md5	MD5-хэш	Средний
scram-sha-256	SHA-256 с SCRAM	Высокий

Как установить или изменить пароль для postgres

Чтобы задать пароль, сначала войдите в psql без него, изменив временно pg_hba.conf на trust. Это стандартный подход: редактируете файл, перезапускаете сервер, задаете пароль SQL-командой, затем возвращаете строгие настройки. Без этого шага локальный доступ с паролем невозможен.

Пример: на Linux sudo -u postgres psql, потом ALTER USER postgres PASSWORD ‘strongpass’. После перезапуска с md5 или scram вы вводите пароль при подключении. В Docker используйте POSTGRES_PASSWORD в docker run. Важно: выбирайте пароль длиной 12-16 символов с буквами, цифрами и символами.

Шаги по установке пароля:

1. Откройте pg_hba.conf (обычно в /var/lib/pgsql/data/ или /etc/postgresql/).
2. Измените ‘local all postgres peer’ на ‘local all postgres trust’.
3. Перезапустите: sudo systemctl restart postgresql.
4. Войдите: sudo -u postgres psql.
5. Выполните: ALTER USER postgres WITH PASSWORD ‘your_secure_password’;
6. Верните в pg_hba.conf ‘md5’ или ‘scram-sha-256’ и перезапустите снова.

Нюанс: в PostgreSQL 14+ по умолчанию scram-sha-256, если параметр password_encryption установлен правильно.

Настройка аутентификации для безопасности

Файл pg_hba.conf - сердце защиты PostgreSQL. Он определяет, кто и как подключается: локально, по IP или с паролем. По умолчанию локальные соединения идут через peer, что удобно для разработки, но опасно в продакшене. Переход на scram-sha-256 блокирует слабые атаки.

Для удаленного доступа добавьте строки вроде ‘host all all 0.0.0.0/0 scram-sha-256’. Но сначала настройте firewall и SSL. В облаке (AWS RDS, Google Cloud SQL) пароль задается при создании инстанса, дефолтный юзер - postgres. Регулярно меняйте пароли и мониторьте логи на подозрительные подключения.

Рекомендации по pg_hba.conf:

• Используйте scram-sha-256 для всех паролей.
• Ограничьте IP: ‘host mydb postgres 192.168.1.0/24 md5’.
• Избегайте trust и password (plain text).
• После правок всегда тестируйте: psql -U postgres -h localhost -W.

Платформа	Дефолтный метод	Рекомендация
Linux	peer	scram-sha-256
Windows	md5	scram-sha-256
Docker	env var	POSTGRES_PASSWORD
AWS RDS	postgres user	Сменить при создании

Лучшие практики защиты пароля в PostgreSQL

Сильный пароль - основа, но не единственная. Включайте ротацию каждые 3-6 месяцев, используйте менеджеры паролей и двухфакторку через расширения вроде pgaudit. Мониторьте неудачные логины в логах PostgreSQL. Для кластеров настройте роли с минимальными правами.

Избегайте дефолтных установок: сразу меняйте на scram и добавляйте firewall правила. В продакшене комбинируйте с VPN или cert-аутентификацией. Это минимизирует риски брутфорса и утечек.

Практические советы:

• Длина пароля: Минимум 12 символов, микс регистров.
• Ротация: Меняйте после подозрений на взлом.
• Логи: Включите log_connections в postgresql.conf.
• Расширения: pgcrypto для хэшей.

Защита на шаг впереди

Мы разобрали базовую настройку пароля в PostgreSQL, но есть нюансы вроде миграции с md5 на scram или кластеров. Стоит изучить официальную документацию по auth-password для глубоких настроек. Подумать над интеграцией с LDAP или Kerberos для enterprise-уровня.

В облачных сервисах дефолтные пользователи вроде postgres требуют смены сразу. Регулярный аудит pg_hba.conf спасет от многих проблем в будущем.