<h1 id="%E6%B0%97%E3%81%AB%E3%81%AA%E3%81%A3%E3%81%9F%E3%81%93%E3%81%A8">
<a class="header-anchor-link" href="#%E6%B0%97%E3%81%AB%E3%81%AA%E3%81%A3%E3%81%9F%E3%81%93%E3%81%A8" aria-hidden="true"></a> 気になったこと</h1>
<p><a href="https://hub.docker.com/_/postgres" target="_blank" rel="nofollow noopener noreferrer">こちらのPostgres公式のDockerイメージ</a>を使って色々と実験してたところ、コンテナ内からパスワードを指定せずpsqlで接続できたことが気になったので調べてみた</p>
<h2 id="%E8%A9%B3%E7%B4%B0">
<a class="header-anchor-link" href="#%E8%A9%B3%E7%B4%B0" aria-hidden="true"></a> 詳細</h2>
<ol>
<li>Dockerイメージをpullしてくる</li>
</ol>
<div class="code-block-container"><pre><code>docker pull postgres
</code></pre></div><ol start="2">
<li>Dockerコンテナを立ち上げる</li>
</ol>
<div class="code-block-container"><pre><code>docker run -p 5432:5432 --name some-postgres -e POSTGRES_PASSWORD=hogefuga postgres
</code></pre></div><ol start="3">
<li>Dockerコンテナに接続する</li>
</ol>
<div class="code-block-container"><pre><code>docker exec -it some-postgres bash
</code></pre></div><ol start="4">
<li>コンテナ内からPostgreSQLに接続する</li>
</ol>
<div class="code-block-container"><pre><code>psql -U postgres
</code></pre></div><h2 id="%E3%81%82%E3%82%8C%E3%80%81%E3%83%91%E3%82%B9%E3%83%AF%E3%83%BC%E3%83%89%E8%A6%81%E3%82%89%E3%81%AA%E3%81%84%E3%81%AE%EF%BC%9F">
<a class="header-anchor-link" href="#%E3%81%82%E3%82%8C%E3%80%81%E3%83%91%E3%82%B9%E3%83%AF%E3%83%BC%E3%83%89%E8%A6%81%E3%82%89%E3%81%AA%E3%81%84%E3%81%AE%EF%BC%9F" aria-hidden="true"></a> あれ、パスワード要らないの？</h2>
<p>Postgresイメージのコンテナを立ち上げる際に POSTGRES_PASSWORD=hogefuga って指定したけど、このパスワード使わないの？</p>
<h1 id="%E5%85%AC%E5%BC%8F%E3%82%A4%E3%83%A1%E3%83%BC%E3%82%B8%E3%81%AE%E3%83%89%E3%82%AD%E3%83%A5%E3%83%A1%E3%83%B3%E3%83%88%E3%82%92%E3%81%A1%E3%82%83%E3%82%93%E3%81%A8%E8%AA%AD%E3%82%93%E3%81%A7%E3%81%BF%E3%82%8B">
<a class="header-anchor-link" href="#%E5%85%AC%E5%BC%8F%E3%82%A4%E3%83%A1%E3%83%BC%E3%82%B8%E3%81%AE%E3%83%89%E3%82%AD%E3%83%A5%E3%83%A1%E3%83%B3%E3%83%88%E3%82%92%E3%81%A1%E3%82%83%E3%82%93%E3%81%A8%E8%AA%AD%E3%82%93%E3%81%A7%E3%81%BF%E3%82%8B" aria-hidden="true"></a> 公式イメージのドキュメントをちゃんと読んでみる</h1>
<h2 id="postgres_password%E3%81%AF%E5%BF%85%E9%A0%88%E9%A0%85%E7%9B%AE">
<a class="header-anchor-link" href="#postgres_password%E3%81%AF%E5%BF%85%E9%A0%88%E9%A0%85%E7%9B%AE" aria-hidden="true"></a> POSTGRES_PASSWORDは必須項目</h2>
<p><code>The PostgreSQL image uses several environment variables which are easy to miss. The only variable required is POSTGRES_PASSWORD, the rest are optional.</code></p>
<p>POSTGRES_PASSWORDのみ必須のENVらしい。確かに指定せずコンテナをrunしようとすると、<a href="https://github.com/docker-library/postgres/blob/3bb48045b4dc5df24bf2271c679f7a4e9efcbe6e/14/alpine/docker-entrypoint.sh#L119" target="_blank" rel="nofollow noopener noreferrer">こちらのコード</a>に起因するエラーが出る</p>
<div class="code-block-container"><pre><code>Error: Database is uninitialized and superuser password is not specified.
       You must specify POSTGRES_PASSWORD to a non-empty value for the
       superuser. For example, "-e POSTGRES_PASSWORD=password" on "docker run".
</code></pre></div><p>当該コードを読むと</p>
<div class="code-block-container"><pre><code>if [ -z "$POSTGRES_PASSWORD" ] &amp;&amp; [ 'trust' != "$POSTGRES_HOST_AUTH_METHOD" ]; then
</code></pre></div><p>と、POSTGRES_HOST_AUTH_METHODが<code>trust</code>ならパスワードを設定しなくても済むようだ。この値については後述</p>
<h2 id="localhost%E3%81%AB%E5%AF%BE%E3%81%97%E3%81%A6%E3%81%AFtrust%E8%AA%8D%E8%A8%BC%E6%96%B9%E5%BC%8F%E3%81%8C%E9%81%A9%E7%94%A8%E3%81%95%E3%82%8C%E3%82%8B">
<a class="header-anchor-link" href="#localhost%E3%81%AB%E5%AF%BE%E3%81%97%E3%81%A6%E3%81%AFtrust%E8%AA%8D%E8%A8%BC%E6%96%B9%E5%BC%8F%E3%81%8C%E9%81%A9%E7%94%A8%E3%81%95%E3%82%8C%E3%82%8B" aria-hidden="true"></a> localhostに対してはtrust認証方式が適用される</h2>
<div class="code-block-container"><pre><code>Note 1: The PostgreSQL image sets up trust authentication locally so you may notice a password is not required when connecting from localhost (inside the same container). However, a password will be required if connecting from a different host/container.
</code></pre></div><p>ここで核心について触れていた。localhost（同じコンテナ内）からの接続ならパスワードは必要ないけど、他のホストやコンテナからの接続なら求めるから心配しないでね、とのこと。とはいえ心配なのでコンテナ外からの接続を試してみる。</p>
<p>コンテナ外からアクセスするためにはポートフォワーディングを設定し直す必要があるので、一度コンテナを削除してから、<code>-p 5432:5432</code>を追加した以下のコマンドで作り直す</p>
<div class="code-block-container"><pre><code>docker run -p 5432:5432 --name some-postgres -e POSTGRES_PASSWORD=hogefuga postgres 
</code></pre></div><p>コンテナが立ち上がったら以下のコマンドでホストマシンからコンテナ内のPostgreSQLに接続してみる</p>
<div class="code-block-container"><pre><code>psql -d postgres -h localhost -p 5432 -U postgres
Password for user postgres: 
</code></pre></div><p>ちゃんとパスワードが求められた</p>
<h2 id="%E8%AA%8D%E8%A8%BC%E6%96%B9%E5%BC%8F%E3%82%92%E3%81%A9%E3%81%93%E3%81%A7%E8%A8%AD%E5%AE%9A%E3%81%A7%E3%81%8D%E3%82%8B%E3%81%AE%E3%81%8B">
<a class="header-anchor-link" href="#%E8%AA%8D%E8%A8%BC%E6%96%B9%E5%BC%8F%E3%82%92%E3%81%A9%E3%81%93%E3%81%A7%E8%A8%AD%E5%AE%9A%E3%81%A7%E3%81%8D%E3%82%8B%E3%81%AE%E3%81%8B" aria-hidden="true"></a> 認証方式をどこで設定できるのか</h2>
<p>上記の設定はどこに記述されているの？と調べたところ<a href="https://www.postgresql.org/docs/14/auth-pg-hba-conf.html" target="_blank" rel="nofollow noopener noreferrer">pg_hba.conf</a>が怪しいので、Postgresコンテナの中の設定ファイルを覗いてみる</p>
<div class="code-block-container"><pre><code>cat var/lib/postgresql/data/pg_hba.conf
</code></pre></div><div class="code-block-container">
<div class="code-block-filename-container"><span class="code-block-filename">pg_hba.conf</span></div>
<pre><code># "local" is for Unix domain socket connections only
local   all             all                                     trust
# IPv4 local connections:
host    all             all             127.0.0.1/32            trust
# IPv6 local connections:
host    all             all             ::1/128                 trust
# Allow replication connections from localhost, by a user with the
# replication privilege.
local   replication     all                                     trust
host    replication     all             127.0.0.1/32            trust
host    replication     all             ::1/128                 trust

host all all all scram-sha-256

</code></pre>
</div><p><a href="https://www.postgresql.jp/document/pg653doc/j/user/app-psql.htm" target="_blank" rel="nofollow noopener noreferrer">psqlはデフォルトでunixドメインソケットを使って接続する</a>ため、psqlで接続を試みると1列目に<code>local</code>と記載された設定レコードが読み込まれ、4列目の<code>trust</code>によりパスワード不要と判断するらしい。</p>
<h2 id="trust%E3%81%98%E3%82%83%E3%81%AA%E3%81%8F%E3%81%A6reject%E3%81%AB%E3%81%97%E3%81%A6%E3%81%BF%E3%82%8B">
<a class="header-anchor-link" href="#trust%E3%81%98%E3%82%83%E3%81%AA%E3%81%8F%E3%81%A6reject%E3%81%AB%E3%81%97%E3%81%A6%E3%81%BF%E3%82%8B" aria-hidden="true"></a> trustじゃなくてrejectにしてみる</h2>
<p>localのレコードをtrustではなく<code>reject</code>に変えてみれば、同じコンテナ内からの接続を拒否するはず。pg_hba.confを編集する</p>
<div class="code-block-container">
<div class="code-block-filename-container"><span class="code-block-filename">pg_hba.conf</span></div>
<pre><code>local   all             all                                     reject
</code></pre>
</div><p>confは即座に反映される訳では無いので、一度psqlで接続して</p>
<div class="code-block-container"><pre><code>psql -U postgres
</code></pre></div><p><a href="https://www.postgresql.jp/document/13/html/functions-admin.html" target="_blank" rel="nofollow noopener noreferrer">以下のコマンド</a>を実行してPostgreSQLサーバに設定ファイルの読み込みを指示する。もしくはコンテナを立ち上げ直しても良いと思う。</p>
<div class="code-block-container"><pre><code>select pg_reload_conf();
</code></pre></div><p>もう一度psqlで接続を試みたところ、ちゃんと弾かれた</p>
<div class="code-block-container"><pre><code>psql -U postgres
psql: error: connection to server on socket "/var/run/postgresql/.s.PGSQL.5432" failed: FATAL:  pg_hba.conf rejects connection for host "[local]", user "postgres", database "postgres", no encryption
</code></pre></div><h2 id="reject%E3%81%98%E3%82%83%E3%81%AA%E3%81%8F%E3%81%A6md5%E3%81%AB%E3%81%97%E3%81%A6%E3%81%BF%E3%82%8B">
<a class="header-anchor-link" href="#reject%E3%81%98%E3%82%83%E3%81%AA%E3%81%8F%E3%81%A6md5%E3%81%AB%E3%81%97%E3%81%A6%E3%81%BF%E3%82%8B" aria-hidden="true"></a> rejectじゃなくてmd5にしてみる</h2>
<p>認証方式がrejectだと常に接続が弾かれてしまうので、パスワードを求める認証方式に変更してみる。ひとまずmd5</p>
<div class="code-block-container">
<div class="code-block-filename-container"><span class="code-block-filename">pg_hba.conf</span></div>
<pre><code>local   all             all                                     md5
</code></pre>
</div><p>pg_reload_conf()を呼び出したいが、現在unixソケットを使った接続はrejectされているので、-hオプションでlocalhostを指定してTCP/IP接続に切り替える</p>
<div class="code-block-container"><pre><code>psql -h localhost -U postgres
</code></pre></div><p>設定ファイルを再度読み込ませる</p>
<div class="code-block-container"><pre><code>select pg_reload_conf();
</code></pre></div><p>unixソケットを使って接続を試みると、ちゃんとパスワードが求められた</p>
<div class="code-block-container"><pre><code>psql -U postgres
Password for user postgres: 
</code></pre></div><h2 id="password%E3%81%A8md5%E3%81%AB%E9%96%A2%E3%81%99%E3%82%8B%E6%B3%A8%E6%84%8F%E7%82%B9">
<a class="header-anchor-link" href="#password%E3%81%A8md5%E3%81%AB%E9%96%A2%E3%81%99%E3%82%8B%E6%B3%A8%E6%84%8F%E7%82%B9" aria-hidden="true"></a> passwordとmd5に関する注意点</h2>
<p>ちなみにpasswordも認証方式として設定できるが平文状態でパスワードが扱われてしまうため<a href="https://www.postgresql.org/docs/14/auth-password.html" target="_blank" rel="nofollow noopener noreferrer">推奨されていない</a>し、ついでにmd5も<a href="https://en.wikipedia.org/wiki/MD5#Security" target="_blank" rel="nofollow noopener noreferrer">ハッシュ衝突攻撃に対して比較的弱い</a>ためmd5ではなくscram-sha-256を設定した方が良い。</p>
<h2 id="%E3%83%9B%E3%82%B9%E3%83%88%E3%83%9E%E3%82%B7%E3%83%B3%E3%81%8B%E3%82%89%E3%81%AE%E6%8E%A5%E7%B6%9A%E3%82%92trust%E3%81%99%E3%82%8B">
<a class="header-anchor-link" href="#%E3%83%9B%E3%82%B9%E3%83%88%E3%83%9E%E3%82%B7%E3%83%B3%E3%81%8B%E3%82%89%E3%81%AE%E6%8E%A5%E7%B6%9A%E3%82%92trust%E3%81%99%E3%82%8B" aria-hidden="true"></a> ホストマシンからの接続をtrustする</h2>
<p>Dockerコンテナから見てホストマシンのIPは標準ネットワーク設定の場合<code>172.17.0.1</code>なので、こちらをpg_hba.confに追加してみる</p>
<div class="code-block-container">
<div class="code-block-filename-container"><span class="code-block-filename">pg_hba.conf</span></div>
<pre><code>host   all             all                172.17.0.1/32            trust
</code></pre>
</div><p>再度読み込ませた後にホストマシンから接続を試みるとパスワードを求められることなく接続できた。開発中はこの設定にしておいた方がコンテナに入る手間が省けて楽</p>
<h2 id="postgres_host_auth_method%E3%81%AB%E3%81%A4%E3%81%84%E3%81%A6">
<a class="header-anchor-link" href="#postgres_host_auth_method%E3%81%AB%E3%81%A4%E3%81%84%E3%81%A6" aria-hidden="true"></a> POSTGRES_HOST_AUTH_METHODについて</h2>
<p><a href="https://github.com/docker-library/postgres/blob/3bb48045b4dc5df24bf2271c679f7a4e9efcbe6e/14/alpine/docker-entrypoint.sh#L119" target="_blank" rel="nofollow noopener noreferrer">この辺を読んでみた限り</a>POSTGRES_HOST_AUTH_METHODが指定されていると以下の1行がconfに追加される</p>
<div class="code-block-container">
<div class="code-block-filename-container"><span class="code-block-filename">pg_hba.conf</span></div>
<pre><code>host all all trust
</code></pre>
</div><p>これだとあらゆるホストからの接続をパスワードなしで許可することになるのでローカル環境での開発フェーズぐらいでしか使い道はなさそう。確かにあらゆるホストからの接続を許可するのであればパスワードの設定は意味をなさないので、以下のコードの通りPOSTGRES_PASSWORDが設定されていなくても問題ない。</p>
<div class="code-block-container"><pre><code>if [ -z "$POSTGRES_PASSWORD" ] &amp;&amp; [ 'trust' != "$POSTGRES_HOST_AUTH_METHOD" ]; then
</code></pre></div><h1 id="%E3%81%BE%E3%81%A8%E3%82%81">
<a class="header-anchor-link" href="#%E3%81%BE%E3%81%A8%E3%82%81" aria-hidden="true"></a> まとめ</h1>
<ul>
<li>PostgreSQLの公式イメージではPOSTGRES_PASSWORDをENVに指定しなければいけない</li>
<li>同じコンテナ内からの接続にはパスワードは求められない</li>
<li>それはpg_hba.conf内の認証方式がtrustに設定されているため</li>
<li>同コンテナ以外（例えばホストマシン）からの接続には上記で設定したパスワードが求められる</li>
<li>設定を変えたければpg_hba.confをいじって、PostgreSQLサーバに設定を読み込ませるプロシージャを呼び出すか、コンテナを再起動すれば良い</li>
</ul>


Postgres公式Dockerイメージのパスワードの扱いについて

あれ、パスワード要らないの？

localhostに対してはtrust認証方式が適用される

認証方式をどこで設定できるのか

trustじゃなくてrejectにしてみる

ホストマシンからの接続をtrustする

公式イメージのドキュメントをちゃんと読んでみる

Discussion