pg_hba.conf
Тема дорожной карты · PostgreSQL
pg_hba.conf (Host-Based Authentication — аутентификация на основе хоста) — конфигурационный файл аутентификации клиентов PostgreSQL, управляющий тем, какие пользователи могут подключаться к каким базам данных с каких хостов и каким методом аутентификации. Каждая строка в pg_hba.conf задаёт тип соединения (локальный Unix-сокет или TCP/IP), имя базы данных, имя роли, диапазон адресов и метод аутентификации: md5, scram-sha-256, trust или reject. PostgreSQL разбирает правила pg_hba.conf сверху вниз и использует первую совпавшую запись, поэтому порядок записей критически важен для корректного администрирования базы данных и усиления безопасности. Изменения в pg_hba.conf вступают в силу после вызова SELECT pg_reload_conf() или сигнала SIGHUP без необходимости полного перезапуска PostgreSQL. Правильная защита pg_hba.conf — например, требование scram-sha-256 и ограничение исходных адресов — является базовой практикой безопасности в любом развёртывании PostgreSQL.
Как это работает
pg_hba.conf делается через пакеты дистрибутива (apt/dnf), официальные PGDG-репо (свежие версии), Docker-образы (postgres:16-alpine для тестов) или managed cloud (Yandex Managed PostgreSQL, RDS). Ключевой конфиг — в postgresql.conf; правила client auth — в pg_hba.conf. Критичные параметры: shared_buffers (~25% RAM), effective_cache_size (~75%), work_mem (per-sort), maintenance_work_mem, max_connections. pgtune — для разумных дефолтов.
Когда применять
Официальные PGDG-репо в production вместо дистрибутивных — они поставляют актуальную major-версию. Postgres в Docker — только dev/test, никогда production-данные (volume-права + OOM-kill реальны); managed cloud или bare-metal с правильными бекапами — это production-уровень. Версия — в окне 5-летней поддержки.
Типичные ошибки
Ловушки pg_hba.conf: дефолт max_connections=100 и "too many connections" — фикс это connection pool (PgBouncer), а не бездумное поднятие cap; рядом 16 + 13 бинари, не тот psql в PATH; дефолтный pg_hba.conf с peer auth путает новичков; не загружен pg_stat_statements с первого дня (потом не найти медленные запросы).