我正在公开托管我的 discourse 论坛,网址为 https://2k2k.org 和 https://blleaks.org,并且我计划向英国用户开放,因为英国有关于隐私规则的所有规定,并希望开放以便他们在论坛上自由发言。然而,由于我的网站也是一个面向黑客的灰色帽子论坛,我想问默认数据库密码是否安全、长且随机,与其他 discourse 数据库不同。我不想发生影响所有 discourse 平台的重大泄露,因此我想问 discourse 的数据库用户是否真的强大,如果不是,能否获得有关如何更好地保护平台的指导。此外,我的网站位于 cloudflare 之后并被代理,所以我不知道这是否有帮助。
祝大家一切顺利
默认安装的 PostgreSQL 身份验证方法不使用密码,它使用 peer 身份验证。
3 个赞
独立的 Docker 设置通过 Unix 套接字连接到数据库。但它会将服务器配置为监听任何接口。它会将网络连接配置为使用 scram-md5(而不是更现代的 scram-sha-256)。PostgreSQL 的 scram-md5 仍被认为是安全的,但最好使用 scram-sha-256,不过这是一个破坏性更改(请参阅链接的文章)。但不会创建带有凭据的用户。
如果您公开容器中的数据库端口,并且正在添加带有凭据的用户,那么您应该确保不要将 PostgreSQL 端口公开到 Internet,并使用长(生成的)密码。