Skip to content
PortsDB

Référence des ports

Port 5432 (TCP) – PostgreSQL

Écouteur par défaut des connexions à la base de données relationnelle PostgreSQL.

tcpRegisteredSouvent attaqué

État par défaut

PostgreSQL écoute sur localhost par défaut ; listen_addresses doit être modifié pour l'exposer. De nombreux déploiements le fixent à 0.0.0.0 et assouplissent pg_hba.conf, exposant 5432 sur le réseau.

Attaques courantes

  • Force brute et pulvérisation de mots de passe contre postgres et les rôles applicatifs
  • Abus de règles trust trop permissives dans pg_hba.conf
  • Abus de privilèges, dont l'exécution de commandes via COPY PROGRAM en superutilisateur
  • Injection SQL pivotant vers le moteur de base de données

Durcissement

  • Garder listen_addresses sur localhost ou une interface privée ; ne jamais exposer 5432 à Internet
  • Renforcer pg_hba.conf — exiger scram-sha-256, éviter l'authentification trust
  • Imposer des mots de passe forts et des rôles au moindre privilège ; restreindre l'usage du superutilisateur
  • Exiger TLS pour les connexions clientes et segmenter avec des pare-feu
  • Maintenir PostgreSQL à jour et surveiller les échecs de connexion

Commande nmap

nmap -p5432 --script pgsql-brute <target>

Remplacez <target> par l’hôte ou la plage que vous êtes autorisé à scanner.

Que tourne sur le port 5432 ?

Le port 5432 est l'écouteur TCP par défaut de PostgreSQL, une puissante base de données relationnelle open source. Les serveurs d'application et les outils d'administration comme psql et pgAdmin se connectent via 5432 pour exécuter du SQL sur des bases qui alimentent des applications web, des plateformes de données et des charges analytiques.

Pourquoi c'est important pour la sécurité

PostgreSQL contient souvent des données critiques et réglementées ; un port 5432 exposé est donc une cible de valeur. L'accès est contrôlé par pg_hba.conf, et une règle mal configurée — surtout l'authentification trust sur un listen_addresses public — peut laisser quiconque se connecter sans mot de passe. Une connexion superutilisateur équivaut au contrôle total de la base et, via certaines fonctions, de l'hôte.

Comment c'est attaqué

Les attaquants scannent les ports 5432 ouverts, puis forcent les identifiants du superutilisateur postgres et des rôles applicatifs. Les règles faibles de pg_hba.conf sont exploitées pour contourner l'authentification. Avec des droits superutilisateur, un attaquant peut exécuter COPY ... PROGRAM pour lancer des commandes système, et l'injection SQL dans les applications peut pivoter directement vers le moteur.

Liste de durcissement

Gardez listen_addresses sur localhost ou une interface privée et 5432 hors d'Internet, derrière un pare-feu ou un VPN. Renforcez pg_hba.conf pour exiger scram-sha-256 et rejeter l'authentification trust, imposez des mots de passe forts et des rôles au moindre privilège, et limitez l'usage du superutilisateur. Exigez TLS et appliquez les correctifs régulièrement. Utilisez l'extrait nmap ci-dessus pour tester les identifiants faibles sur les hôtes que vous êtes autorisé à évaluer.

Ports liés

Port 1433Port 1521Port 3306Port 27017

Questions fréquentes

Est-il sûr d'exposer le port 5432 à Internet ?
Non. Un PostgreSQL exposé à Internet est scanné et soumis à la force brute. Gardez listen_addresses privé, renforcez pg_hba.conf, exigez TLS et connectez-vous via un VPN ou un tunnel SSH.
Pourquoi pg_hba.conf est-il risqué ?
Il contrôle qui peut s'authentifier et comment. Une règle 'trust' sur une adresse publique permet à quiconque de se connecter sans mot de passe. Utilisez scram-sha-256 et restreignez par IP source.