PG14:auth_delay 插件源碼分析_ZenDei技術網路在線

PG14:auth_delay 插件源碼分析

-Advertisement-

auth_delay 讓伺服器在報告身份驗證失敗前短暫暫停，以增加對資料庫密碼進行暴力破解的難度。需要註意的是，這對阻止拒絕服務攻擊毫無幫助，甚至可能加劇攻擊，因為在報告身份驗證失敗前等待的進程仍會占用連接。要使用這個模塊必須要在 postgresql.conf 中配置參數 shared_prel ...

auth_delay 讓伺服器在報告身份驗證失敗前短暫暫停，以增加對資料庫密碼進行暴力破解的難度。需要註意的是，這對阻止拒絕服務攻擊毫無幫助，甚至可能加劇攻擊，因為在報告身份驗證失敗前等待的進程仍會占用連接。

要使用這個模塊必須要在 postgresql.conf 中配置參數

shared_preload_libraries = 'auth_delay'
auth_delay.milliseconds = '500'

這個代碼比較簡單，一共分為三個部分。

hook 函數

在 libpq 中定義了一個 ClientAuthentication_hook 函數指針，代碼如下：

typedef void (*ClientAuthentication_hook_type) (Port *, int);

/*
 * This hook allows plugins to get control following client authentication,
 * but before the user has been informed about the results.  It could be used
 * to record login events, insert a delay after failed authentication, etc.
 */
ClientAuthentication_hook_type ClientAuthentication_hook = NULL;

_PG_init 函數

void
_PG_init(void)
{
	/* Define custom GUC variables */
	DefineCustomIntVariable("auth_delay.milliseconds",
							"Milliseconds to delay before reporting authentication failure",
							NULL,
							&auth_delay_milliseconds,
							0,
							0, INT_MAX / 1000,
							PGC_SIGHUP,
							GUC_UNIT_MS,
							NULL,
							NULL,
							NULL);
	/* Install Hooks */
	original_client_auth_hook = ClientAuthentication_hook;
	ClientAuthentication_hook = auth_delay_checks;
}

這個 _PG_init 函數會在模塊調用之前執行，這個函數主要實現的功能是定義了一個 GUC 參數 auth_delay.milliseconds 這個參數我們需要在 postgresql.conf 中進行配置，然後它將原來的鉤子函數保存在了 original_client_auth_hook 變數中，然後將我們自己的 auth_delay_checks 函數賦給了 ClientAuthentication_hook 變數，這樣我們就可以讓資料庫調用我們的函數了。

auth_delay_checks 函數

static void
auth_delay_checks(Port *port, int status)
{
	/*
	 * Any other plugins which use ClientAuthentication_hook.
	 */
	if (original_client_auth_hook)
		original_client_auth_hook(port, status);

	/*
	 * Inject a short delay if authentication failed.
	 */
	if (status != STATUS_OK)
	{
		pg_usleep(1000L * auth_delay_milliseconds);
	}
}

這個函數的意思是如果原來存在有鉤子函數就先運行原來的鉤子函數，然後我們看一下驗證的狀態 status 是不是正確，如果不正確，就延時 auth_delay_milliseconds 個時間。

您的分享是我們最大的動力!

-Advertisement-

更多相關文章

shell腳本中main函數中$#獲取不到腳本傳入參數個數淺析

Linux的shell腳本，有時候我們在運行shell腳本時會給腳本傳入參數，出於邏輯上的嚴謹，在腳本中可能會做一些邏輯判斷或處理，例如判斷腳本傳入參數的個數。一般我們會用$#獲取傳入參數的個數，假如，我們在shell腳本的main函數中去判斷腳本傳入參數的個數，類似如下所示： .........f ...
FreeRTOS教程4 消息隊列

本文主要學習 FreeRTOS 消息隊列的相關知識，包括消息隊列概述、創建刪除複位隊列、寫入/讀取數據到隊列等關於隊列的基礎知識 ...
tomcat中虛擬主機以及web應用程式的配置

一：新建虛擬主機 1. 在tomcat里新建文件夾myapps，在裡面添加ROOT文件，放入網站的首頁文件新建文本文檔，輸入你想要的內容我這裡的內容是TOM.AI,把文本文檔的名字改成index.htm 2. server.xml下每個host節點就代表一個主機，相當於一個網站。用記事本打開to ...
線上機器 swap 過高導致告警

哈嘍大家好，我是鹹魚。今天收到了一個告警，說有台伺服器上的 swap 過高，已經用了 50% 以上了。登錄機器查看一下記憶體以及 swap 的使用情況。 [root@localhost ~]# free -h total used free shared buff/cache available ...
痞子衡嵌入式：使用恩智浦GUI Guider快速創建全新LCD屏示例工程的步驟

大家好，我是痞子衡，是正經搞技術的痞子。今天痞子衡給大家分享的是使用恩智浦GUI Guider快速創建全新LCD屏示例工程的步驟。在痞子衡舊文《在i.MXRT1170上快速點亮一款全新LCD屏的方法與步驟》里，痞子衡介紹了在官方 SDK 裸機驅動 elcdif 示例工程基礎上做修改以支持一款全 ...
常用Linux系統性能分析命令

Linux系統提供了許多命令來分析系統性能。以下是一些常用的Linux系統性能分析命令： top：實時監視系統的運行狀態和進程信息，包括CPU使用率、記憶體使用情況、進程狀態等。實例：直接在終端中輸入top，即可實時查看系統進程狀態及資源占用情況。 htop：類似於top，但提供更友好的界面和交互， ...
Linux安裝Nginx詳細教程

一、下載Nginx安裝包 Nginx官網下載地址根據需求選擇自己需要的版本下載後上傳至伺服器(路徑自行決定)。如果伺服器有外網，可以直接在伺服器上下載。 wget -c https://nginx.org/download/nginx-1.24.0.tar.gz 二、安裝Nginx 解壓安裝包 ...
關係資料庫範式詳解(Normal form，簡稱NF)

引言關係資料庫中的關係滿足一定要求的，滿足不同程度要求的為不同的範式，共有6種範式。滿足最低要求的叫第一範式，簡稱 1NF；在第一範式的基礎上滿足進一步要求的稱為第二範式，簡稱 2NF; 其餘範式以此類推。對於各種範式之間有如下關係： 5NF ∈ 4NF ∈ BCNF ∈ 3NF ∈ 2NF ...