PostgreSQL®-Hinweise

Verbesserungsvorschläge für die Sicherheit (nur für fortgeschrittene Benutzer)

  • Es ist empfehlenswert, eine Whitelist für die Host-Rechner zu erstellen, die auf die Datenbank zugreifen dürfen. Diese Whitelist kann in der Datei /db/wincc_oa/localdb/postgresql/pgdata/pg_hba.conf innerhalb des Projektverzeichnisses hinterlegt werden.
  • Schränken Sie die erlaubten Adressen für die Datenbankkommunikation mit der Einstellung listen_addresses in der Datei /db/wincc_oa/localdb/postgresql/pgdata/postgresql.conf. innerhalb des Projektverzeichnisses zusätzlich ein.

Passwort für den Default PostgreSQL® admin-Benutzer festlegen

Wenn eine von WinCC OA verwaltete PostgreSQL®-Datenbank erstellt wird (siehe Kapitel Archiv-zu-Gruppe-Zuordnung), wird der Default Admin-Benutzer postgres deaktiviert und es ist nicht möglich, sich mit diesem Benutzer an dieser verwalteten Datenbank anzumelden.

Note: Beachten Sie, dass dieser indirekt deaktivierte Admin-Benutzer kein Passwort hat.

Wenn Ihre Sicherheitsrichtlinien jedoch verlangen, dass dieser Admin-Benutzer ein sicheres Passwort hat, führen Sie die folgenden Schritte aus, um ein Passwort für den PostgreSQL®-Benutzer zu erzwingen:

Windows:

  1. Starten Sie das WinCC OA-Projekt:
    cmd psql -U postgres -h %LOCALAPPDATA%\.winccoa -p 15432 winccoa
  2. Fragen Sie das Passwort ab: ALTER USER postgres WITH PASSWORD 'P@ssw0rd';.
  3. Bearbeiten Sie die Datei:
    %proj_path%\db\wincc_oa\localdb\postgresql\16\pgdata\pg_hba.conf
  4. Ändern Sie die Zeile:

    `local  all  postgres  trust` 

    auf

    `local  all  postgres  scram-sha-256` 
  5. Fragen Sie die Einstellungen ab:
    select pg_reload_conf();

Linux

  1. Starten Sie das WinCC OA-Projekt:
    cmd `psql -U postgres -h ~/.winccoa -p 15432 winccoa`
  2. Setzen Sie das Passwort zurück:
    ALTER USER postgres WITH PASSWORD 'P@ssw0rd';
  3. Bearbeiten Sie die Datei:
    `$proj_path$/db/wincc_oa/localdb/postgresql/16/pgdata/pg_hba.conf`
  4. Ändern Sie die Zeile:

    `local all postgres trust`

    auf:

    `local all postgres scram-sha-256`
  5. Fragen Sie die Einstellungen ab:
    select pg_reload_conf();
Important: Wir bieten Sicherheit bis auf die Maschinenebene. Wenn ein Angreifer Zugriff auf die Maschine hat, liegt das nicht in der Verantwortung des WinCC OA-Produktanbieters.