Skip to main content
search

Qual é o parâmetro responsável por armazenar a chave de criptografia/descriptografia no pgBackRest?

By 12 de setembro de 2025Institucional

Se você já configurou backups com o pgBackRest, provavelmente sabe que ele é uma das ferramentas mais robustas e confiáveis para proteger bases de dados PostgreSQL. Mas quando o assunto é segurança dos backups, uma dúvida comum surge: como garantir que o conteúdo dos backups não seja acessado por pessoas não autorizadas?

É aí que entra a criptografia.

O pgBackRest permite que seus backups sejam criptografados, ou seja, que o conteúdo deles seja embaralhado de forma que só alguém com a chave correta possa ler ou restaurar. Isso é fundamental em ambientes onde os backups ficam armazenados em servidores externos, nuvem ou mesmo em discos acessíveis por múltiplos times.

Por que criptografar backups?

Criptografar backups não é apenas uma boa prática, em muitos casos, é uma exigência de compliance. Imagine que alguém consiga acesso a uma cópia de um backup, sem criptografia, isso pode significar acesso completo ao banco de dados. Com criptografia, o conteúdo só pode ser restaurado ou acessado por quem tem a chave correta.

Então, qual é o parâmetro que define essa chave?

No pgBackRest, o parâmetro que define a chave é o repo1-cipher-pass.. Ele especifica a senha (ou passphrase) usada tanto para criptografar quanto para descriptografar os dados do backup.

Esse parâmetro funciona junto com o repo1-cipher-type, que define o algoritmo de criptografia a ser usado, como por exemplo o aes-256-cbc.

Veja um exemplo:

SQL

[global]
repo1-cipher-type=aes-256-cbc
repo1-cipher-pass=uma_senha_super_secreta

[stanza_name]
pg1-path=/var/lib/postgresql/14/main
repo1-path=/var/lib/pgbackrest

Sem a senha correta definida em repo1-cipher-pass, não é possível restaurar o backup. Essa é a camada de segurança que garante que seus dados fiquem inacessíveis mesmo que alguém tenha acesso físico ao arquivo de backup.

Boas práticas ao usar o repo1-cipher-pass

  • Proteja o arquivo de configuração:
    O pgbackrest.conf deve ter permissões restritas:

SQL

chmod 600 /etc/pgbackrest/pgbackrest.conf

  • Evite deixar a senha exposta:
    Considere usar um cofre de segredos (como Vault, AWS Secrets Manager etc.) para armazenar e injetar a senha em tempo de execução.
  • Faça backup seguro da chave:
    Sem a repo1-cipher-pass, seus backups criptografados são irrecuperáveis. Tenha cópias seguras da chave.
  • Criptografe desde o início:
    Backups anteriores à configuração da criptografia continuarão sem proteção.

Importante: Uma vez feita a config de criptografia para a stanza, ela não pode ser mais descriptografada.


Conclusão

Criptografia de backup é um recurso essencial, e o pgBackRest entrega isso de forma prática e poderosa.
O parâmetro repo1-cipher-pass é o que garante que seus backups estejam realmente protegidos. É a chave do cofre.
Com ela, você mantém seus dados seguros mesmo em ambientes externos. Sem ela… nem o DBA restaura.

Leave a Reply

Close Menu