Làm thế nào để chuyển mật khẩu vào pg_dump?

Tôi đang cố gắng tạo một cronjob để sao lưu cơ sở dữ liệu của mình mỗi đêm trước khi điều gì đó thảm khốc xảy ra. Có vẻ như lệnh này sẽ đáp ứng nhu cầu của tôi:

0 3 * * * pg_dump dbname | gzip > ~/backup/db/$(date +%Y-%m-%d).psql.gz

Ngoại trừ sau khi chạy nó, nó hy vọng tôi nhập mật khẩu. Tôi không thể làm điều đó nếu tôi chạy nó từ cron. Làm thế nào tôi có thể vượt qua một trong tự động?

Tạo một .pgpasstệp trong thư mục chính của tài khoản pg_dumpsẽ chạy như. Xem libpq-pgpass của tài liệu Postgresql để biết chi tiết về định dạng (bao gồm cả đoạn cuối giải thích nó sẽ bị bỏ qua nếu bạn không đặt chế độ thành 0600).

Hoặc bạn có thể thiết lập crontab để chạy tập lệnh. Trong tập lệnh đó, bạn có thể đặt một biến môi trường như thế này: export PGPASSWORD="$put_here_the_password"

Bằng cách này nếu bạn có nhiều lệnh yêu cầu mật khẩu, bạn có thể đặt tất cả chúng trong tập lệnh. Nếu mật khẩu thay đổi, bạn chỉ phải thay đổi nó ở một nơi (tập lệnh).

Và tôi đồng ý với Joshua, sử dụng pg_dump -Fctạo định dạng xuất linh hoạt nhất và đã được nén. Để biết thêm thông tin xem: tài liệu pg_dump

Ví dụ

# dump the database in custom-format archive
pg_dump -Fc mydb > db.dump

# restore the database
pg_restore -d newdb db.dump

Nếu bạn muốn làm điều đó trong một lệnh:

PGPASSWORD="mypass" pg_dump mydb > mydb.dump

Đối với một lớp lót, như di chuyển cơ sở dữ liệu, bạn có thể sử dụng --dbnametheo sau là chuỗi kết nối (bao gồm cả mật khẩu) như được nêu trong hướng dẫn pg_dump

Về bản chất.

pg_dump --dbname=postgresql://username:password@127.0.0.1:5432/mydatabase

Lưu ý: Đảm bảo rằng bạn sử dụng tùy chọn --dbnamethay vì ngắn hơn -dvà sử dụng tiền tố URI hợp lệ postgresql://hoặc postgres://.

Biểu mẫu URI chung là:

postgresql://[user[:password]@][netloc][:port][/dbname][?param1=value1&...]

Thực hành tốt nhất trong trường hợp của bạn (nhiệm vụ lặp đi lặp lại trong cron) điều này không nên được thực hiện vì vấn đề bảo mật. Nếu không có .pgpasstệp, tôi sẽ lưu chuỗi kết nối dưới dạng biến môi trường.

export MYDB=postgresql://username:password@127.0.0.1:5432/mydatabase

sau đó có trong crontab của bạn

0 3 * * * pg_dump --dbname=$MYDB | gzip > ~/backup/db/$(date +%Y-%m-%d).psql.gz

$ PGPASSWORD="mypass" pg_dump -i -h localhost -p 5432 -U username -F c -b -v -f dumpfilename.dump databasename

Điều này giúp tôi trong khi tạo kết xuất của một cơ sở dữ liệu.

PGPASSWORD="yourpassword" pg_dump -U postgres -h localhost mydb > mydb.pgsql

@Josue Alexander Ibarra trả lời hoạt động trên centos 7 và phiên bản 9.5 nếu --dbname không được thông qua.

pg_dump postgresql://username:password@127.0.0.1:5432/mydatabase 

Lưu ý rằng, trong windows, pgpass.conftệp phải nằm trong thư mục sau:

%APPDATA%\postgresql\pgpass.conf

nếu không có postgresqlthư mục trong %APPDATA%thư mục, hãy tạo nó.

các pgpass.confnội dung tập tin là một cái gì đó như:

localhost:5432:dbname:dbusername:dbpassword

chúc mừng

Sửa lỗi cho tôi nếu tôi sai, nhưng nếu người dùng hệ thống giống với người dùng cơ sở dữ liệu, PostgreQuery sẽ không yêu cầu mật khẩu - nó phụ thuộc vào hệ thống để xác thực. Đây có thể là một vấn đề về cấu hình.

Vì vậy, khi tôi muốn chủ sở hữu cơ sở dữ liệu postgressao lưu cơ sở dữ liệu của mình mỗi đêm, tôi có thể tạo một crontab cho nó : crontab -e -u postgres. Tất nhiên, postgressẽ cần phải được phép thực hiện các công việc định kỳ; do đó, nó phải được liệt kê trong /etc/cron.allow, hoặc /etc/cron.denyphải trống.

Sao lưu qua ssh bằng mật khẩu bằng thông tin xác thực .pgpass tạm thời và đẩy lên S3:

#!/usr/bin/env bash
cd "$(dirname "$0")"

DB_HOST="*******.*********.us-west-2.rds.amazonaws.com"
DB_USER="*******"
SSH_HOST="my_user@host.my_domain.com"
BUCKET_PATH="bucket_name/backup"

if [ $# -ne 2 ]; then
    echo "Error: 2 arguments required"
    echo "Usage:"
    echo "  my-backup-script.sh <DB-name> <password>"
    echo "  <DB-name> = The name of the DB to backup"
    echo "  <password> = The DB password, which is also used for GPG encryption of the backup file"
    echo "Example:"
    echo "  my-backup-script.sh my_db my_password"
    exit 1
fi

DATABASE=$1
PASSWORD=$2

echo "set remote PG password .."
echo "$DB_HOST:5432:$DATABASE:$DB_USER:$PASSWORD" | ssh "$SSH_HOST" "cat > ~/.pgpass; chmod 0600 ~/.pgpass"
echo "backup over SSH and gzip the backup .."
ssh "$SSH_HOST" "pg_dump -U $DB_USER -h $DB_HOST -C --column-inserts $DATABASE" | gzip > ./tmp.gz
echo "unset remote PG password .."
echo "*********" | ssh "$SSH_HOST" "cat > ~/.pgpass"
echo "encrypt the backup .."
gpg --batch --passphrase "$PASSWORD" --cipher-algo AES256 --compression-algo BZIP2 -co "$DATABASE.sql.gz.gpg" ./tmp.gz

# Backing up to AWS obviously requires having your credentials to be set locally
# EC2 instances can use instance permissions to push files to S3
DATETIME=`date "+%Y%m%d-%H%M%S"`
aws s3 cp ./"$DATABASE.sql.gz.gpg" s3://"$BUCKET_PATH"/"$DATABASE"/db/"$DATETIME".sql.gz.gpg
# s3 is cheap, so don't worry about a little temporary duplication here
# "latest" is always good to have because it makes it easier for dev-ops to use
aws s3 cp ./"$DATABASE.sql.gz.gpg" s3://"$BUCKET_PATH"/"$DATABASE"/db/latest.sql.gz.gpg

echo "local clean-up .."
rm ./tmp.gz
rm "$DATABASE.sql.gz.gpg"

echo "-----------------------"
echo "To decrypt and extract:"
echo "-----------------------"
echo "gpg -d ./$DATABASE.sql.gz.gpg | gunzip > tmp.sql"
echo

Chỉ cần thay thế một vài dòng cấu hình đầu tiên bằng bất cứ thứ gì bạn cần - rõ ràng. Đối với những người không quan tâm đến phần sao lưu S3, hãy lấy nó ra - rõ ràng.

Tập lệnh này sẽ xóa thông tin đăng nhập .pgpasssau đó vì trong một số môi trường, người dùng SSH mặc định có thể sudo mà không cần mật khẩu, ví dụ EC2 với ubuntungười dùng, do đó sử dụng .pgpassvới tài khoản máy chủ khác để bảo mật thông tin đăng nhập đó, có thể là vô nghĩa.

Như chi tiết trong bài đăng trên blog này , có hai cách để không tương tác cung cấp mật khẩu cho các tiện ích PostgreQuery, chẳng hạn như lệnh "pg_dump": sử dụng tệp ".pgpass" hoặc sử dụng biến môi trường "PGPASSWORD" .

Một cách khác (có thể không an toàn) để truyền mật khẩu là sử dụng chuyển hướng đầu vào tức là gọi

pg_dump [params] < [path to file containing password]

Bạn có thể chuyển mật khẩu vào pg_dump trực tiếp bằng cách sử dụng như sau:

pg_dump "host=localhost port=5432 dbname=mydb user=myuser password=mypass" > mydb_export.sql

Theo cách dễ nhất theo ý kiến ​​của tôi, điều này: bạn chỉnh sửa tệp cấu hình postgres chính: pg_hba.conf ở đó bạn phải thêm dòng sau:

host <you_db_name> <you_db_owner> 127.0.0.1/32 trust

và sau này, bạn cần bắt đầu bạn cron như vậy:

pg_dump -h 127.0.0.1 -U <you_db_user> <you_db_name> | gzip > /backup/db/$(date +%Y-%m-%d).psql.gz

và nó hoạt động mà không cần mật khẩu