Где искать рекомендуемые настройки SSL-аутентификации для Docker-образа Posgres?

Question

[Wylaroren]

Понадобилось настроить SSL-аутентификацию для базы данных Posgres, которая работает через Docker (тоесть для Docker-образа "postgres"). Когда я начал искать информацию, то обнаружил большое количество всяких решений - как относительно простых, так и навороченных, но навороченных больше. Я не спрашиваю: "как настроить SSL-аутентификацию для Postgres?", потому что, скорее всего, мне просто выдадут очередное навороченное решение (не факт, что рабочее). Возникает вопрос: а где, собственно, искать рекомендуемые настройки для "docker-compose.yaml"? На официальной странице образа posgres на Docker Hub аббревиатура "SSL" вообще ни разу не упоминается. Как-то некомфортно от того, что решение такого важного вопроса безопасности (в базе данных же могут храниться пароли, даты рождения и прочая личная информация) приходится искать в статьях и на форумах, а метод проб и ошибок тут явно неприменим, потому что ошибка означает утечку персональных данных.

Answer 1

[Drno]

По логике там 3х параметров достаточно.
Включить ssl
Указать волюм для сертификата и ключа

Answer 2

[ky0]

Нет никаких "рекомендуемых настроек для docker-compose.yaml". В докер-образ через переменные окружения, разумеется, пробрасывается далеко не каждый параметр, поддерживаемый Постгресом.

Чтобы настроить TLS, вам, как минимум, откуда-то нужно будет взять приватный ключ и сертификат - и подложить его в контейнер. Относительно же конкретных параметров - в большинстве случаев подойдут дефолтные.

Answer 3

[Vitaly Karasik]

где, собственно, искать рекомендуемые настройки для "docker-compose.yaml"?

ошибка означает утечку персональных данных.

ИМХО и AFAIK, это не так - нет никакой опасности утечки информации, если мы говорим про коммуникацию между несколькими контейнерами на одном хосте. Я не вижу никакого сценария, при котором SSL (== encryption in transit) может помочь в такой архитектуре.

Comments

[Wylaroren]

Благодарю Вас за комментарий! При обмене данными между контейнерами опасности может и нет, но подключаться к БД из локального клиента планируется. Даже если к VPS необходимо подключаться по SSH только с использованием ассиметричного шифрования, то к БД всё ещё можно подключиться по имени пользователя и паролю.

[Vitaly Karasik]

Wylaroren,

к БД всё ещё можно подключиться по имени пользователя и паролю.

Это нужно закрыть, и сделать это очень легко - закрыть порт Postgres для интернета. Подсоединяться только через SSH туннель.