ubuntu安装并初始化postgresql
安装
sudo apt update
sudo apt install postgresql postgresql-contrib
同时安装 PostgreSQL contrib 软件包,它可以提供 PostgreSQL 数据库系统的一些额外特性。
一旦安装完成, PostgreSQL 服务将会自动启动。使用 psql工具通过连接 PostgreSQL 数据库并且打印它的版本来验证安装:
sudo -u postgres psql -c "SELECT version();"
PostgreSQL 角色和身份认证方式
PostgreSQL 数据库访问权限是通过角色来处理的。一个角色代表一个数据库用户或者一个数据库用户组。
PostgreSQL 支持多种身份认证方式。最常用的方法如下:
- Trust - 只要满足
pg_hba.conf定义的条件,一个角色就可以不使用密码就能连接服务器 - Password - 通过密码,一个角色可以连接服务器。密码可以被存储为 scram-sha-256, md5, 和 password(明文)。
- Ident - 仅仅支持 TCP/IP 连接。它通常通过一个可选的用户名映射表,获取客户端操作系统用户名。
- Peer - 和 Ident 一样,仅仅支持本地连接。
PostgreSQL 客户端身份验证通常被定义在 pg_hba.conf文件中。默认情况下,对于本地连接,PostgreSQL 被设置成身份认证防范 peer。
为了以 postgres用户身份登录 PostgreSQL 服务器,首先切换用户,然后使用 psql工具访问 PostgreSQL。
sudo su - postgres
psql
从这里开始,你可以与 PostgreSQL 实例交互。退出 PostgreSQL Shell,输入:\q
postgres用户仅仅在本地被使用。
创建 PostgreSQL 角色和数据库
仅仅超级用户和拥有 CREATEROLE权限的角色可以创建新角色。
在下面的例子中,我们创建一个名称为zch的角色,一个名称为 johndb的数据库,并且授予数据库上的权限:
创建一个新的 PostgreSQL 角色:
sudo su - postgres -c "createuser zch"
创建一个新的 PostgreSQL 数据库:
sudo su - postgres -c "createdb site_backend"
修改用户密码
sudo su - postgres -c "alter role zch with password '123456'"
将数据库权限赋予用户
想要授权用户操作数据库,连接到 PostgreSQL shell:
sudo -u postgres psql
并且运行下面的 query:
grant all privileges on database site_backend to zch;
启用远程访问 PostgreSQL 服务器
默认情况下,PostgreSQL 服务器仅仅监听本地网络接口:127.0.0.1。
为了允许远程访问你的 PostgreSQL 服务器,打开配置文件 postgresql.conf并且在 CONNECTIONS AND AUTHENTICATION 一节添加 listen_addresses = '*'。
sudo vim /etc/postgresql/14/main/postgresql.conf
#------------------------------------------------------------------------------
# CONNECTIONS AND AUTHENTICATION
#------------------------------------------------------------------------------
# - Connection Settings -
listen_addresses = '*' # what IP address(es) to listen on;
保存文件并且重启 PostgreSQL 服务:
sudo systemctl restart postgresql
使用 ss工具验证修改:
ss -nlt | grep 5432
输出显示 PostgreSQL 服务器正在监听所有的网络接口(0.0.0.0):
LISTEN 0 244 0.0.0.0:5432 0.0.0.0:*
LISTEN 0 244 [::]:5432 [::]:*
下一步就是配置服务器接受远程连接,编辑 pg_hba.conf文件。
下面是一些例子,显示不同的用户场景:
# TYPE DATABASE USER ADDRESS METHOD
# The user zch can access all databases from all locations using md5 password
host all zch 0.0.0.0/0 md5
# The user zch can access only the janedb from all locations using md5 password
host site_backend zch 0.0.0.0/0 md5
# The user zch can access all databases from a trusted location (192.168.1.134) without a password
host all zch 10.11.39.215 trust
最后一步就是在你的防火墙上打开端口 5432端口。
假设你正在使用 UFW来管理你的防火墙,并且你想允许从 10.11.39.215/24子网过来的访问,你应该运行下面的命令:
sudo ufw status
sudo ufw allow proto tcp from 10.11.39.215/24 to any port 5432
确保你的防火墙被配置好,并仅仅接受来自受信任 IP 范围的连接。