news 2026/7/14 22:59:45

PostgreSQL archive_command 场景下的 postgres 免密 SSH 配置与排查实录

作者头像

张小明

前端开发工程师

1.2k 24
文章封面图
PostgreSQL archive_command 场景下的 postgres 免密 SSH 配置与排查实录

一、背景说明

生产环境中,PostgreSQL 的归档配置如下:

archive_command = 'rsync -a %p postgres@10.1.1.2:/var/lib/pgsql/archive/%f'

关键特征:

  • 使用postgres 用户

  • 通过rsync + ssh

  • 每个 WAL 段一次独立连接

  • 无交互(必须免密)

为了复现并分析 rsync/ssh 在该模型下的性能上限,我在两台新服务器上搭建了等价环境:

角色

IP

说明

A(发送端)

192.168.1.167

模拟主库,执行 archive_command

B(接收端)

192.168.1.240

模拟归档机

Jumpserver

仅用于人工登录,不参与运行时链路

⚠️注意

archive_command 运行时是A → B 直连不会经过 jumpserver,jumpserver 仅用于“人工运维操作”。


二、目标

实现:

A 上的 postgres 用户 → 通过 SSH 免密 → 直连 B 上的 postgres 用户 → 执行 rsync

三、免密登录配置步骤

1️⃣ A 上生成 postgres 用户的 SSH key

sudo -u postgres -i echo $HOME # /var/lib/pgsql mkdir -p ~/.ssh chmod 700 ~/.ssh ssh-keygen -t ed25519 -N '' -f ~/.ssh/id_ed25519

生成:

  • /var/lib/pgsql/.ssh/id_ed25519

  • /var/lib/pgsql/.ssh/id_ed25519.pub


2️⃣ 通过 jumpserver 登录到 B,注入公钥

由于B 无密码、只能通过 jumpserver 登录,无法使用 ssh-copy-id,只能手工注入。

在 B 上:

sudo -u postgres -i mkdir -p ~/.ssh chmod 700 ~/.ssh cat >> ~/.ssh/authorized_keys <<'EOF' ssh-ed25519 AAAAC3... postgres@ip-192-168-1-167 EOF chmod 600 ~/.ssh/authorized_keys exit

3️⃣ 修复 SELinux 上下文(非常关键)

B 上执行:

restorecon -Rv /var/lib/pgsql/.ssh

输出示例:

Relabeled /var/lib/pgsql/.ssh to ssh_home_t Relabeled /var/lib/pgsql/.ssh/authorized_keys to ssh_home_t

如果跳过这一步,在SELinux Enforcing的系统上,免密会“看起来都对但就是不生效”。


四、问题出现:A 连接 B 卡住

在 A 上验证免密:

sudo -u postgres ssh -o BatchMode=yes postgres@192.168.1.240 "echo OK"

现象:

  • 命令卡住,无输出

  • 不报权限错误

  • 不提示密码


五、排查过程(关键)

1️⃣ 使用 ssh 调试模式定位阶段

sudo -u postgres ssh -vvv postgres@192.168.1.240

输出停留在:

debug1: Connecting to 192.168.1.240 [192.168.1.240] port 22.

👉说明:连接卡在 TCP 层,尚未进入 SSH 协议


2️⃣ 验证端口连通性

nc -vz 192.168.1.240 22

结果:连接失败


3️⃣ 结论定位

  • jumpserver 能连 B

  • A → B22 端口不通

  • SSH 尚未进入认证阶段

👉根因:安全组 / 防火墙未放通 A → B 的 22 端口


4️⃣ 修复

在云平台安全组中:

  • 放通 192.168.1.167 → 192.168.1.240:22


六、修复后验证

再次在 A 上执行:

sudo -u postgres ssh -o BatchMode=yes postgres@192.168.1.240 "echo OK"

输出:

OK

免密登录成功 🎉


八、Checklist(30 秒自检版)

  • A → B 的 22 端口是否放通

  • postgres home 权限是否 700

  • authorized_keys 权限是否 600

  • SELinux context 是否为 ssh_home_t

  • postgres 是否允许 ssh 登录

版权声明: 本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若内容造成侵权/违法违规/事实不符,请联系邮箱:809451989@qq.com进行投诉反馈,一经查实,立即删除!
网站建设 2026/7/14 0:27:39

第4天:用户画像绘制——让客户形象鲜活起来

核心目标&#xff1a;为每个核心群体绘制生动的用户画像&#xff08;Persona&#xff09;。操作明细&#xff1a;基本信息勾勒&#xff1a;包括年龄、职业、收入、家庭状况等基本信息。典型场景描述&#xff1a;描述该客户在日常生活中使用产品的典型场景。痛点与需求挖掘&…

作者头像 李华
网站建设 2026/7/13 14:19:32

Windows SMB RCE漏洞CVE-2025-33073分析与利用工具

Windows SMB RCE漏洞CVE-2025-33073分析与利用工具 项目描述 该项目是一个针对Windows SMB客户端远程代码执行漏洞CVE-2025-33073的安全研究与渗透测试工具集。该漏洞被标记为高危&#xff08;CVSS 8.8分&#xff09;&#xff0c;影响Windows 10、11及Server 2012-2025的所有版…

作者头像 李华
网站建设 2026/7/7 2:27:42

基于YOLOv5/v8/v10的手势识别系统:从理论到全栈实践

摘要 手势识别作为人机交互的重要方式&#xff0c;在虚拟现实、智能家居、无障碍通信等领域具有广泛应用价值。本文系统介绍了基于YOLO系列目标检测算法的手势识别完整解决方案&#xff0c;涵盖YOLOv5、YOLOv8和YOLOv10三个版本的核心技术对比&#xff0c;提供了完整的训练数据…

作者头像 李华
网站建设 2026/7/14 21:56:03

好写作AI:交叉学科“翻译官”,终结你的“学术巴别塔”困境!

各位在多个学科夹缝中“反复横跳”、左手生物学术语右手代码参数的交叉学科卷王们&#xff0c;是否经常这样&#xff1a;脑中的idea融合了A学科的深邃理论与B学科的犀利方法&#xff0c;感觉自己站在创新的潮头&#xff0c;一下笔却发现——“我写的这段话&#xff0c;两边领域…

作者头像 李华
网站建设 2026/7/10 11:33:26

基于Python 图形学实验(生成中间帧)

图形学实验: 生成中间帧 给定初始图片和结束图片&#xff0c;生成中间的N帧&#xff0c;使得首尾自然过渡 开发环境 开发环境&#xff1a;macOS Mojave 10.14.6开发软件&#xff1a;PyCharm 2019.1.3开发语言&#xff1a;python 如何运行 将项目文件夹拷贝到本地环境运行s…

作者头像 李华
网站建设 2026/7/10 8:48:13

从理论到实践:Node-RED性能优化的完整案例解析

在物联网和自动化领域&#xff0c;Node-RED以其直观的可视化编程界面赢得了众多开发者的青睐。然而&#xff0c;许多用户在实际应用中都会遇到一个共同的问题&#xff1a;为什么我的Node-RED流程看起来逻辑清晰&#xff0c;运行起来却异常缓慢&#xff1f; 为什么你的Node-RED…

作者头像 李华