Postgresql: Criando scripts de execução psql com senha

274

Como posso chamar o psql para que ele não solicite uma senha ?

Isto é o que eu tenho:

psql -Umyuser < myscript.sql

No entanto, não consegui encontrar o argumento que passa a senha e, portanto, o psql sempre solicita isso.

postgresql psql

— Axel Fontaine
fonte

4

Acabei indo para a variável de ambiente PGPASSWORD. Isso encaixou perfeitamente no meu caso. Simples e independente no script.

— Axel Fontaine

Acabei de encontrar este postgresguide.com/utilities/psql.html

— D_C

Possível duplicata de Como especificar uma senha para psql de forma não interativa?

— Helder Pereira

315

Existem várias maneiras de autenticar no PostgreSQL. Você pode investigar alternativas à autenticação de senha em https://www.postgresql.org/docs/current/static/client-authentication.html .

Para responder à sua pergunta, existem algumas maneiras de fornecer uma senha para autenticação baseada em senha. A maneira óbvia é através do prompt de senha. Em vez disso, você pode fornecer a senha em um arquivo pgpass ou através da PGPASSWORDvariável de ambiente. Veja estes:

Não há opção para fornecer a senha como um argumento de linha de comando, porque essas informações geralmente estão disponíveis para todos os usuários e, portanto, inseguras. No entanto, em ambientes Linux / Unix, você pode fornecer uma variável de ambiente para um único comando como este:

PGPASSWORD=yourpass psql ...

— Reece
fonte

11

Eu acho que PGPASSWORD está obsoleto, mas ainda funciona, btw. Apenas FYI

— Scott Marlowe

35

Sim, está obsoleto (e observado em um dos links). Desde que surgiu, provavelmente também vale a pena notar que a depreciação é muito contestada, porque é extremamente útil para muitas pessoas e ainda pode ser usada em algumas circunstâncias sem sérias preocupações de segurança. Parece-me que não é pior do que armazenar .pgpass em um sistema de arquivos NFS, por exemplo. Eu uso PGPASSWORD rotineiramente.

— Reece

1

a ideia de que as informações de linha de comando é "disponível para todos os usuários" se baseia em pressupostos antiquados sobre sistemas multi-utilizador e não se aplica na maioria dos ambientes modernos onde os sistemas basta executar uma única aplicação e é tudo automatizado

— Alex R

159

PGPASSWORD=[your password] psql -Umyuser < myscript.sql

— Greg
fonte

1

isso funciona também em terraform. Você, meu amigo, é um salva-vidas

— wildthing81

67

Você pode adicionar esta linha de comando no início do seu script:

set PGPASSWORD=[your password]

— jbaylina
fonte

24

no meu comando caso conjunto não funcionou, mas export PGPASSWORD=[password]fez trabalho

— Can Kavaklıoğlu

não funciona no shell script. Estou usando

#!/bin/sh set PGPASSWORD = postgres psql -h 192.168.3.200 -U postgres incx_um << EOF DELETE FROM usrmgt.user_one_time_codes WHERE time < NOW() - INTERVAL '30 minute' EOF

— Govind Gupta

2

Tente não usar espaços, por exemplo. PGPASSWORD=password.

— Ariejan 29/11

48

Se você pretende ter vários hosts / conexões com o banco de dados, o arquivo ~ / .pgpass é o caminho a seguir.

Passos:

Crie o arquivo usando vim ~/.pgpassou similar. Insira suas informações no seguinte formato: hostname:port:database:username:passwordNão adicione aspas em torno dos valores do seu campo. Você também pode usar * como um curinga para seus campos de porta / banco de dados.
Você deve chmod 0600 ~/.pgpass, para que não seja ignorado silenciosamente pelo psql.
Crie um alias no seu perfil do bash que execute seu comando psql para você. Por exemplo: alias postygresy='psql --host hostname database_name -U username'Os valores devem corresponder aos que você inseriu no arquivo ~ / .pgpass.
Crie seu perfil do bash com . ~/.bashrcou similar.
Digite seu alias na linha de comando.

Observe que se você tiver um conjunto de variáveis PGPASSWORD = '' de exportação, ele terá precedência sobre o arquivo.

— tandy
fonte

1

Você deve fazer um chmod 600no arquivo, caso contrário psqlo ignorará silenciosamente (de acordo com os documentos).

— 19419 RichVel

33

Essa pode ser uma pergunta antiga, mas há um método alternativo que você pode usar e que ninguém mencionou. É possível especificar a senha diretamente no URI da conexão. A documentação pode ser encontrada aqui , ou aqui .

Você pode fornecer seu nome de usuário e senha diretamente no URI de conexão fornecido para psql:

# postgresql://[user[:password]@][netloc][:port][/dbname][?param1=value1&...]
psql postgresql://username:password@localhost:5432/mydb

— ajxs
fonte

2

Postrgres 9.3 ignora variável de ambientePGPASSWORD

— david.perez 27/03

14

Se você está tendo problemas no Windows como eu (estou usando o Windows 7 de 64 bits) e set PGPASSWORD=[Password]não funcionou.

Então, como Kavaklioglu disse em um dos comentários,

export PGPASSWORD=[password]

Você precisará salvá-lo na parte superior do arquivo ou antes de qualquer uso, para que seja definido antes de ser chamado.

Certamente funciona no Windows :)

— Jamie Hutber
fonte

1

export PGPASSWORD=[password]não funciona para mim usando a linha de comando (cmd.exe). Tem certeza de que não estava usando o cygwin ou algo semelhante?

— Devin Snyder

Só funciona com cl, você adicionou ao arquivo, certo? Agora, basta digitar no comando?

— 21714 Jamie Hutber #

tudo bem em usá-lo no ambiente linux / mac, para o windows, acho que você deve encontrar uma maneira de exportar essa variável de ambiente.

— Pengfei.X

Então adicione uma senha global ... Isso é uma idéia interessante, bem

— Jamie Hutber

12

Você precisa criar um arquivo de senha: consulte http://www.postgresql.org/docs/9.0/interactive/libpq-pgpass.html para obter mais informações.

— Femi
fonte

7

Dadas as preocupações de segurança sobre o uso da variável de ambiente PGPASSWORD, acho que a melhor solução geral é a seguinte:

Escreva seu próprio arquivo pgpass temporário com a senha que deseja usar.
Use a variável de ambiente PGPASSFILE para dizer ao psql para usar esse arquivo.
Remova o arquivo pgpass temporário

Há alguns pontos de nota aqui. A Etapa 1 existe para evitar a sujeira no arquivo ~ / .pgpass do usuário que possa existir. Você também deve garantir que o arquivo tenha permissões 0600 ou menos.

Alguns sugeriram aproveitar o bash para atalho da seguinte maneira:

PGPASSFILE=<(echo myserver:5432:mydb:jdoe:password) psql -h myserver -U jdoe -p 5432 mydb

Isso usa a sintaxe <() para evitar a necessidade de gravar os dados em um arquivo real. Mas não funciona porque o psql verifica qual arquivo está sendo usado e gera um erro como este:

WARNING: password file "/dev/fd/63" is not a plain file

— mightybyte
fonte

Um exemplo de trabalho dessa abordagem aparece em stackoverflow.com/a/40614592/3696363 - outra resposta a esta pergunta.

— Eliyahu Skoczylas

Embora esse usuário não tenha realmente pedido a mesma coisa que estou procurando, diria que a abordagem não corresponde. Ao usar a sintaxe PGPASSFILE = <(qualquer que seja), é possível descriptografar um arquivo e apenas tê-lo presente no descritor de arquivo criado. Ao escrever um arquivo temporário, você não está resolvendo fundamentalmente o problema de ter um arquivo em disco com credenciais. Não é divertido lidar com regras arbitrárias da indústria como essa, mas é algo com o qual muitas pessoas lidam.

— Desidero 18/10

7

Isso pode ser feito simplesmente usando PGPASSWORD. Estou usando o psql 9.5.10. No seu caso, a solução seria

PGPASSWORD=password psql -U myuser < myscript.sql

— pyAddict
fonte

5

Com base na resposta de mightybyte para aqueles que não se sentem confortáveis com o script * nix shell, aqui está um script de trabalho:

#!/bin/sh
PGPASSFILE=/tmp/pgpasswd$$
touch $PGPASSFILE
chmod 600 $PGPASSFILE
echo "myserver:5432:mydb:jdoe:password" > $PGPASSFILE
export PGPASSFILE
psql mydb
rm $PGPASSFILE

O cifrão duplo ( $$) na /tmp/pgpasswd$$linha 2 anexa o número do ID do processo ao nome do arquivo, para que este script possa ser executado mais de uma vez, mesmo simultaneamente, sem efeitos colaterais.

Observe o uso do chmodcomando na linha 4 - assim como o erro " não é um arquivo simples " descrito por mightybyte , também há um erro " permissões " se isso não for feito.

Na linha 7, você não precisará usar o sinalizador -hmyserver , -pmyport ou -Ujdoe se usar os padrões ( localhost : 5432 ) e tiver apenas um usuário de banco de dados. Para vários usuários, (mas a conexão padrão) altere essa linha para

psql mydb jdoe

Não esqueça de tornar o script executável com

chmod +x runpsql( ou o que você chamou de arquivo de script )

ATUALIZAR:

Eu segui o conselho de RichVel e tornei o arquivo ilegível antes de colocar a senha nele. Isso fecha um pequeno furo de segurança. Obrigado!

— Eliyahu Skoczylas
fonte

4

Você pode usar mktemppara criar um arquivo temporário em vez de criar seu próprio esquema de nomenclatura. Ele cria um novo arquivo temporário (chamado algo como /tmp/tmp.ITXUNYgiNhno Linux e /var/folders/xx/7gws2yy91vn9_t2lb8jcr2gr0000gn/T/tmp.QmbVOQk4no MacOS X) e imprime seu nome em stdout.

— Ivan Kolmychek

1

Problema de segurança É melhor fazer chmod 600depois de criar o arquivo, mas antes de gravar a senha nele. Conforme escrito, um script mal-intencionado no servidor poderia tentar continuamente ler arquivos desse formato e, às vezes, conseguiria obter a senha. Além disso, se esse script for interrompido por algum motivo, o arquivo será deixado no disco - a gravação de um trapmanipulador de shell resolveria isso. Dado que não é trivial escrever um script seguro como esse, recomendo o uso export PGPASSWORD.

— RichVel 18/02/19

Obrigado, @RichVel por apontar essa pequena falha de segurança. Toque em criar e tornar o arquivo privado antes de inserir a senha. É uma melhoria definitiva. Esse tipo de solução é necessário porque PGPASSWORDfoi descontinuado na 9.3.

— Eliyahu Skoczylas 11/04/19

Alguns dos docs dizer que é obsoleto, mas como mencionado em um comentário no este Q & A , a depreciação é contestada e ainda funciona como de Postgres 10.6

— RichVel

5

Uma alternativa ao uso da PGPASSWORDvariável de ambiente é usar a conninfostring de acordo com a documentação

Uma maneira alternativa de especificar parâmetros de conexão está em uma string conninfo ou em um URI, que é usado em vez de um nome de banco de dados. Esse mecanismo oferece controle muito amplo sobre a conexão.

$ psql "host=<server> port=5432 dbname=<db> user=<user> password=<password>"

postgres=>

— ubi
fonte

2

Você pode achar isso útil: Linha de comando do Windows PSQL: existe uma maneira de permitir o login sem senha?

— Uma pergunta
fonte

1

8 anos depois ...

No meu mac, eu tive que colocar uma linha no arquivo ~/.pgpasscomo:

<IP>:<PORT>:<dbname>:<user>:<password>

Veja também:
https://www.postgresql.org/docs/current/libpq-pgpass.html
https://wiki.postgresql.org/wiki/Pgpass

— Dirk Schumacher
fonte

Não use -W para psql se você usar .pgpass. Este parâmetro cancela o uso de .pgpass.

— avvensis 23/03

-1

Acho que o psql mostra o prompt de senha, mesmo que você defina a variável PGPASSWORD, mas você pode especificar a opção -w para o psql omitir o prompt de senha.

— Mark Lokshin
fonte

-6

Use -w no comando: psql -h localhost -p 5432 -U user -w

— vjOnstack
fonte