1. Introdução ao pg_hba.conf
O arquivo pg_hba.conf (Host-Based Authentication) é o principal mecanismo de controle de acesso do PostgreSQL. Ele define quais hosts (máquinas), usuários, e bancos de dados podem se conectar, e qual método de autenticação será exigido.
Importância: Sem uma configuração correta, o servidor pode ficar vulnerável a acessos não autorizados ou, no extremo oposto, impedir que conexões legítimas sejam estabelecidas.
2. Localização do Arquivo
A localização pode variar de acordo com o sistema operacional e o método de instalação, mas geralmente pode ser encontrado nos seguintes caminhos:
Linux (Pacotes Padrão):
/etc/postgresql/<versao>/main/pg_hba.confInstalações via
sourceou binário: Dentro do diretório de dados (data directory) do cluster PostgreSQL.
3. Anatomia de uma Linha de Configuração
Cada linha no pg_hba.conf é uma regra que segue a seguinte estrutura:
| Tipo | Banco de Dados | Usuário | Endereço IP/Rede | Método de Autenticação | Opções |
host | all | postgres | 127.0.0.1/32 | scram-sha-256 | - |
Atenção: As regras são lidas sequencialmente de cima para baixo. A primeira regra que corresponder aos parâmetros da conexão é a que será aplicada, e as regras subsequentes são ignoradas.
4. Detalhamento dos Campos
| Campo | Descrição | Valores Comuns | Exemplo de Uso |
| Tipo | Define o tipo de conexão. | local (socket UNIX), host (IPv4 ou IPv6), hostssl, hostnossl | host |
| Database | O nome do DB alvo. | all (todos), sameuser, samerole, nome específico | financeiro |
| User | O nome do usuário (role) alvo. | all, nome de usuário específico, @nomedarole (grupo) | app_backend |
| Address | O endereço da máquina cliente. | 127.0.0.1/32 (localhost), 0.0.0.0/0 (qualquer IP), 192.168.1.0/24 (sub-rede) | 10.10.0.0/16 |
| Method | O mecanismo de autenticação. | trust, reject, md5, scram-sha-256, cert, ldap, gssapi | scram-sha-256 |
5. Métodos de Autenticação Cruciais
| Método | Descrição | Nível de Segurança | Recomendação |
trust | Permite a conexão sem senha. | Baixíssimo | Apenas para local ou testes controlados. Nunca em produção via host. |
reject | Rejeita a conexão imediatamente. | Alto | Útil para bloquear IPs ou usuários específicos. |
md5 | Senha criptografada com MD5. | Médio (Legado) | Evitar. Usar scram-sha-256 se possível. |
scram-sha-256 | Autenticação de desafio-resposta. | Alto | Padrão de segurança atual e recomendado. |
peer | Autentica o usuário pelo nome do usuário do SO. | Alto (Local) | Apenas para conexões local. |
Visão Geral
Import HTML Content
Conteúdo das Ferramentas
Tarefas