Grenoble – 30 de enero de 2024

Extensión credcheck para PostgreSQL

La extensión de PostgreSQL credcheck permite realizar comprobaciones generales de credenciales durante la creación de un usuario, durante el cambio de contraseña y el cambio de nombre de usuario. Mediante esta extensión, es posible definir un conjunto de reglas:

• permitir un conjunto específico de credenciales
• rechazar cierto tipo de credenciales
• negar una contraseña fácil de descifrar
• establecer el uso de una fecha de caducidad para la contraseña con un mínimo de días
• definir una política de reutilización de contraseñas
• definir el número de intentos de autenticación erróneos permitidos antes de bloquear a un usuario
• añadir un retardo tras cada fallo de autenticación

Esta es una versión de mantenimiento que soluciona un problema importante relativo al respaldo, realizado con pgBackRest, del archivo que contiene el historial de contraseñas y añade una función de retardo en la autenticación.

• Añade la función de retardo de autenticación que permite añadir una pausa en caso de fallo de autenticación. La configuración de credcheck.auth_delay_ms hace que el servidor haga una pausa por un determinado número de milisegundos antes de reportar el fallo de autenticación. Esto dificulta los ataques de fuerza bruta a las contraseñas de las bases de datos. Para limitar la cantidad de extensiones a precargar, este parche es puramente un copia/pega de la extensión auth_delay. Consulten https://www.postgresql.org/docs/current/auth-delay.html para obtener más información sobre el origen de esta función.
• Se fuerza el tamaño del archivo $PGDATA/global/pg_password_history a ser múltiplo de 8192 para solucionar el error pgBackRest causado por el mensaje de error: «desalineación de página en el archivo /…/global/pg_password_history: el tamaño del archivo 2604 no es divisible por el tamaño de página 8192»

La actualización requiere un reinicio de PostgreSQL para recargar la biblioteca de credcheck.

La lista completa de cambios y agradecimientos está disponible aquí.

Enlaces y créditos

credcheck es un proyecto abierto desarrollado por MigOps Inc bajo licencia PostgreSQL, desarrollado y mantenido por Gilles Darold. Se agradece cualquier contribución que nos ayude a mejorar la herramienta. Pueden enviar sus ideas, peticiones de funcionalidades o parches a través de las herramientas de GitHub.

Enlaces :

• Descargas:  https://github.com/MigOpsRepos/credcheck/releases/
• Soporte: utilicen la herramienta para reportes de GitHub en https://github.com/MigOpsRepos/credcheck/issues

Información sobre credcheck

La extensión credcheck es un proyecto desarrollado por MigOps Inc. Ya que MigOPs fue cerrada, Gilles Darold es el mantenedor oficial. Si necesitan más información, contáctenme.  

Documentación en https://github.com/MigOpsRepos/credcheck#readme