Discourse ha una password predefinita del database casuale forte?

Sto ospitando il mio forum discourse pubblicamente su https://2k2k.org e https://blleaks.org e ho intenzione di aprirlo anche agli utenti del Regno Unito riguardo a tutte le regole sulla privacy del Regno Unito e voglio aprirlo in modo che possano essere liberi sul forum, tuttavia, poiché il mio sito è anche un forum grey hat rivolto agli hacker, voglio chiedere se la password predefinita del database è sicura, lunga e casuale rispetto a tutti gli altri database discourse, non voglio che si verifichi una fuga di notizie importante che influenzi tutte le piattaforme discourse, quindi volevo chiedere se l’utente del database per discourse è effettivamente forte e, in caso contrario, potrei ricevere indicazioni su come proteggere meglio la piattaforma. Inoltre, il mio sito è dietro cloudflare ed è proxato, quindi non so se questo aiuti in qualche modo.

Saluti a tutti

Il metodo di autenticazione dell’installazione predefinita per postgres non utilizza una password, ma l’autenticazione peer.

La configurazione Docker standalone si connette tramite un socket Unix al database. Ma configura il server per l’ascolto su qualsiasi interfaccia. Configurerà la connessione di rete per utilizzare scram-md5 (invece del più moderno scram-sha-256). scram-md5 di PostgreSQL è ancora considerato sicuro, ma è meglio usare scram-sha-256, anche se si tratta di una modifica che rompe la compatibilità (vedi articolo collegato). Tuttavia, non vengono creati utenti con credenziali.

Se si espone la porta del database nel container e si aggiungono utenti con credenziali, è necessario assicurarsi di non esporre la porta di PostgreSQL a Internet e di utilizzare password lunghe (generate).