原来一直以为这个文件中,每一行的顺序是没有区别的,但是最近的一个需求,研究时发现,原来这个文件对登录的会话,是从上往下依次判断的:
具体的规则是:
1. 登录的会话,会顺着pg_hba.conf的策略一条一条往下走。 2. 如果遇到匹配到的规则,那么做成判断,是信任,还是拒绝,还是验证密码。后续就不往下走继续判断规则了。 3. 如果某一条规则不符合,没匹配成功,就继续往下走,继续做判断,直到所有的规则都判断完毕。
因此,如果我有一个用于备份的用户,叫anybackup(爱数备份软件),由于权限设置的比较大,需要保证只能在数据库本机登录(利用爱数在数据库本机的agent,登录数据库),且要禁止该用户,从别的主机登录。
我们可以这样写我们的pg_hba.conf文件:
# TYPE DATABASE USER ADDRESS METHOD local all all trust host all anybackup 10.0.0.0/8 reject host all anybackup 127.0.0.1/32 trust host replication repuser 10.0.0.0/8 md5 host all all 10.0.0.0/8 md5
这表示:
(1)如果是以本地socket方式连接数据库,则全部信任,无需密码。
(2)如果是通过tcpip(不管是ssl还是非ssl)登录,且是非爱数的anybackup用户,比如正常的业务用户,那么第一行,不是socket登录,不符合,继续往下走;第二行,不是anyback用户,不符合,继续往下走;第三行,也不是anybackup用户,不符合,继续往下走;第四行,不是repuser主从复制用户,不符合,继续往下走;第五行,符合,可以用密码登录。
(3)如果是通过tcpip(不管是ssl还是非ssl)登录,且数据库用户是anybackup,在数据库本机登录,那么第一行,不符合,继续往下走;第二行,匹配到了用户,但是ip地址不符合,继续往下走;第三行,全部符合,登录成功,完成,不往下继续判断了。
(4)如果是通过tcpip(不管是ssl还是非ssl)登录,且数据库用户是anybackup,在远程登录,那么第一行不符合,往下走,第二行符合,直接拒绝连接,已经匹配到规则,所以不往下继续判断。
注意我们这边reject的策略,不能放到最后一行。如果我们配置成这样:
# TYPE DATABASE USER ADDRESS METHOD local all all trust host all anybackup 127.0.0.1/32 trust host replication repuser 10.0.0.0/8 md5 host all all 10.0.0.0/8 md5 host all anybackup 10.0.0.0/8 reject
那么,我们远程登录的anybackup用户,就会符合第四行的策略,不再进行第五行的判断。