指定服务器监听来自客户端应用程序连接的 TCP/IP 地址。该值采用主机名和/或数字 IP 地址的逗号分隔列表的形式。特殊条目*对应于所有可用的 IP 接口。0.0.0.0允许监听所有 IPv4 地址，而::允许监听所有 IPv6 地址。如果列表为空，则服务器不监听任何 IP 接口，在这种情况下，只能使用 Unix 域套接字连接到它。如果列表不为空，则服务器将在其可以监听至少一个 TCP/IP 地址时启动。对于无法打开的任何 TCP/IP 地址，将发出警告。默认值为localhost，它只允许建立本地 TCP/IP “环回”连接。

虽然客户端身份验证（第20章）允许对谁可以访问服务器进行细粒度控制，但listen_addresses控制哪些接口接受连接尝试，这有助于防止在不安全的网络接口上重复的恶意连接请求。此参数只能在服务器启动时设置。

服务器监听的 TCP 端口；默认为 5432。请注意，服务器监听的所有 IP 地址都使用相同的端口号。此参数只能在服务器启动时设置。

确定数据库服务器的最大并发连接数。默认值为 100 个连接，但如果您的内核设置不支持（如在initdb期间确定），则可能更少。此参数只能在服务器启动时设置。

PostgreSQL 基于max_connections的值直接调整某些资源的大小。增加其值会导致分配更多这些资源，包括共享内存。

在运行备用服务器时，必须将其设置为与主服务器相同或更高的值。否则，备用服务器将不允许查询。

确定为具有pg_use_reserved_connections角色权限的角色保留的连接“槽”的数量。每当空闲连接槽的数量大于superuser_reserved_connections但小于或等于superuser_reserved_connections和reserved_connections的总和时，只有超级用户和具有pg_use_reserved_connections权限的角色才能接受新连接。如果superuser_reserved_connections或更少的连接槽可用，则只有超级用户才能接受新连接。

默认值为零个连接。该值必须小于max_connections减去superuser_reserved_connections。此参数只能在服务器启动时设置。

确定为PostgreSQL超级用户保留的连接“槽”的数量。最多max_connections个连接可以同时处于活动状态。每当活动并发连接数至少为max_connections减去superuser_reserved_connections时，只有超级用户才能接受新连接。此参数保留的连接槽旨在作为紧急情况下在reserved_connections保留的槽用尽后使用的最终储备。

默认值为三个连接。该值必须小于max_connections减去reserved_connections。此参数只能在服务器启动时设置。

指定服务器监听来自客户端应用程序连接的 Unix 域套接字的目录。可以通过列出多个用逗号分隔的目录来创建多个套接字。条目之间的空格将被忽略；如果需要在名称中包含空格或逗号，请用双引号将目录名括起来。空值表示不监听任何 Unix 域套接字，在这种情况下，只能使用 TCP/IP 套接字连接到服务器。

以@开头的值指定应在抽象命名空间中创建 Unix 域套接字（目前仅在 Linux 上支持）。在这种情况下，此值不指定“目录”，而是从中以与文件系统命名空间相同的方式计算实际套接字名称的前缀。虽然可以自由选择抽象套接字名称前缀，因为它不是文件系统位置，但约定是仍然使用类似文件系统的值，例如@/tmp。

默认值通常为/tmp，但可以在构建时更改。在 Windows 上，默认为空，这意味着默认情况下不创建 Unix 域套接字。此参数只能在服务器启动时设置。

除了套接字文件本身（命名为.s.PGSQL.nnnn，其中nnnn是服务器的端口号）之外，一个名为.s.PGSQL.nnnn.lock的普通文件将在每个unix_socket_directories目录中创建。这两个文件都不应手动删除。对于抽象命名空间中的套接字，不会创建锁文件。

设置 Unix 域套接字的所有者组。（套接字的所有者始终是启动服务器的用户。）结合参数unix_socket_permissions，这可以用作 Unix 域连接的额外访问控制机制。默认情况下，这是空字符串，它使用服务器用户的默认组。此参数只能在服务器启动时设置。

此参数在 Windows 上不受支持。任何设置都将被忽略。此外，抽象命名空间中的套接字没有文件所有者，因此在这种情况下此设置也会被忽略。

设置 Unix 域套接字的访问权限。Unix 域套接字使用通常的 Unix 文件系统权限集。参数值应为以chmod和umask系统调用接受的格式指定的数字模式。（要使用习惯的八进制格式，数字必须以0（零）开头）。

默认权限为0777，表示任何人都可以连接。合理的替代方案是0770（仅用户和组，另请参见unix_socket_group）和0700（仅用户）。（请注意，对于 Unix 域套接字，只有写权限才重要，因此设置或撤销读或执行权限毫无意义）。

此访问控制机制独立于第20章中描述的机制。

此参数只能在服务器启动时设置。

此参数与完全忽略套接字权限的系统（例如，截至 Solaris 10 的 Solaris）无关。在那里，可以通过将unix_socket_directories指向搜索权限仅限于所需受众的目录来实现类似的效果。

抽象命名空间中的套接字没有文件权限，因此此设置在这种情况下也会被忽略。

启用通过Bonjour宣传服务器的存在。默认情况下关闭。此参数只能在服务器启动时设置。

指定 Bonjour 服务名称。如果此参数设置为空字符串 ''（默认为空），则使用计算机名称。如果服务器未编译 Bonjour 支持，则忽略此参数。此参数只能在服务器启动时设置。

指定在没有网络活动的情况下，操作系统应向客户端发送 TCP 保活消息之前的时间段。如果此值指定时没有单位，则将其视为秒。值为 0（默认值）选择操作系统的默认值。在 Windows 上，将值设置为 0 将使此参数设置为 2 小时，因为 Windows 没有提供读取系统默认值的方法。此参数仅在支持 TCP_KEEPIDLE 或等效套接字选项的系统以及 Windows 上受支持；在其他系统上，它必须为零。在通过 Unix 域套接字连接的会话中，此参数被忽略，并且始终读取为零。

指定未被客户端确认的 TCP 保活消息应重新传输之前的时间段。如果此值指定时没有单位，则将其视为秒。值为 0（默认值）选择操作系统的默认值。在 Windows 上，将值设置为 0 将使此参数设置为 1 秒，因为 Windows 没有提供读取系统默认值的方法。此参数仅在支持 TCP_KEEPINTVL 或等效套接字选项的系统以及 Windows 上受支持；在其他系统上，它必须为零。在通过 Unix 域套接字连接的会话中，此参数被忽略，并且始终读取为零。

指定在服务器与客户端的连接被视为断开之前，可以丢失的 TCP 保活消息的数量。值为 0（默认值）选择操作系统的默认值。此参数仅在支持 TCP_KEEPCNT 或等效套接字选项（不包括 Windows）的系统上受支持；在其他系统上，它必须为零。在通过 Unix 域套接字连接的会话中，此参数被忽略，并且始终读取为零。

指定在 TCP 连接强制关闭之前，传输的数据可以保持未确认的时间段。如果此值指定时没有单位，则将其视为毫秒。值为 0（默认值）选择操作系统的默认值。此参数仅在支持 TCP_USER_TIMEOUT（不包括 Windows）的系统上受支持；在其他系统上，它必须为零。在通过 Unix 域套接字连接的会话中，此参数被忽略，并且始终读取为零。

设置在运行查询时，可选检查客户端是否仍然连接的时间间隔。通过轮询套接字执行检查，如果内核报告连接已关闭，则允许较长时间运行的查询更快地中止。

此选项依赖于 Linux、macOS、illumos 和 BSD 系列操作系统公开的内核事件，目前在其他系统上不可用。

如果值指定时没有单位，则将其视为毫秒。默认值为 0，这将禁用连接检查。如果没有连接检查，服务器仅在下次与套接字交互时（等待、接收或发送数据时）才会检测到连接丢失。

为了使内核本身在所有情况下（包括网络故障）可靠地在已知时间范围内检测到丢失的 TCP 连接，可能还需要调整操作系统的 TCP 保活设置，或 PostgreSQL 的 tcp_keepalives_idle、tcp_keepalives_interval 和 tcp_keepalives_count 设置。

完成客户端身份验证允许的最大时间。如果潜在客户端在此时间内未完成身份验证协议，则服务器将关闭连接。这可以防止挂起的客户端无限期地占用连接。如果此值指定时没有单位，则将其视为秒。默认值为 1 分钟 (1m)。此参数只能在 postgresql.conf 文件或服务器命令行中设置。

当在 CREATE ROLE 或 ALTER ROLE 中指定密码时，此参数确定用于加密密码的算法。可能的值为 scram-sha-256，它将使用 SCRAM-SHA-256 加密密码，以及 md5，它将密码存储为 MD5 哈希。默认为 scram-sha-256。

请注意，较旧的客户端可能缺乏对 SCRAM 身份验证机制的支持，因此无法与使用 SCRAM-SHA-256 加密的密码一起使用。有关更多详细信息，请参见 第 20.5 节。

使用 SCRAM-SHA-256 加密密码时要执行的计算迭代次数。默认为 4096。较高的迭代次数提供了针对存储密码的暴力破解攻击的额外保护，但会使身份验证速度变慢。更改该值不会影响使用 SCRAM-SHA-256 加密的现有密码，因为迭代次数在加密时是固定的。为了利用更改后的值，必须设置新的密码。

设置服务器 Kerberos 密钥文件的位置。默认为 FILE:/usr/local/pgsql/etc/krb5.keytab（其中目录部分是在构建时作为 sysconfdir 指定的；使用 pg_config --sysconfdir 来确定）。如果此参数设置为空字符串，则将其忽略并使用系统相关的默认值。此参数只能在 postgresql.conf 文件或服务器命令行中设置。有关更多信息，请参见 第 20.6 节。

设置是否应不区分大小写地处理 GSSAPI 用户名。默认为 off（区分大小写）。此参数只能在 postgresql.conf 文件或服务器命令行中设置。

设置是否应接受来自客户端的 GSSAPI 委托。默认为 off，这意味着 不会 接受来自客户端的凭据。将其更改为 on 将使服务器接受从客户端委托给它的凭据。此参数只能在 postgresql.conf 文件或服务器命令行中设置。

启用SSL连接。此参数只能在 postgresql.conf 文件或服务器命令行中设置。默认为 off。

指定包含 SSL 服务器证书颁发机构 (CA) 的文件名称。相对路径相对于数据目录。此参数只能在 postgresql.conf 文件或服务器命令行中设置。默认为空，表示没有加载 CA 文件，并且不执行客户端证书验证。

指定包含 SSL 服务器证书的文件名称。相对路径相对于数据目录。此参数只能在 postgresql.conf 文件或服务器命令行中设置。默认为 server.crt。

指定包含 SSL 客户端证书吊销列表 (CRL) 的文件名称。相对路径相对于数据目录。此参数只能在 postgresql.conf 文件或服务器命令行中设置。默认为空，表示没有加载 CRL 文件（除非设置了 ssl_crl_dir）。

指定包含 SSL 客户端证书吊销列表 (CRL) 的目录名称。相对路径相对于数据目录。此参数只能在 postgresql.conf 文件或服务器命令行中设置。默认值为为空，表示不使用 CRL（除非设置了 ssl_crl_file）。

需要使用 OpenSSL 命令 openssl rehash 或 c_rehash 准备该目录。有关详细信息，请参阅其文档。

使用此设置时，指定目录中的 CRL 会在连接时按需加载。可以将新的 CRL 添加到目录中，并且会立即使用。这与 ssl_crl_file 不同，后者会导致在服务器启动时或重新加载配置时加载文件中的 CRL。这两个设置可以一起使用。

指定包含 SSL 服务器私钥的文件名称。相对路径相对于数据目录。此参数只能在 postgresql.conf 文件或服务器命令行中设置。默认值为 server.key。

指定一个列表SSLSSL 连接允许使用的密码套件。有关此设置的语法和支持值的列表，请参阅 OpenSSL 软件包中的 ciphers 手册页。只有使用 TLS 版本 1.2 及更低版本的连接才会受到影响。目前没有设置可以控制 TLS 版本 1.3 连接使用的密码选择。默认值为 HIGH:MEDIUM:+3DES:!aNULL。除非您有特定的安全需求，否则默认值通常是一个合理的选择。

此参数只能在 postgresql.conf 文件或服务器命令行中设置。

默认值的解释

可用的密码套件详细信息在不同的 OpenSSL 版本中会有所不同。使用命令 openssl ciphers -v 'HIGH:MEDIUM:+3DES:!aNULL' 查看当前安装的 OpenSSL 版本的实际详细信息。请注意，此列表会根据服务器密钥类型在运行时进行过滤。

指定是否使用服务器的 SSL 密码首选项，而不是客户端的。此参数只能在 postgresql.conf 文件或服务器命令行中设置。默认值为 on。

9.4 之前的 PostgreSQL 版本没有此设置，并且始终使用客户端的首选项。此设置主要是为了与这些版本向后兼容。使用服务器的首选项通常更好，因为它更有可能正确配置服务器。

指定在椭圆曲线 Diffie-Hellman (ECDH)密钥交换中使用的曲线的名称。所有连接的客户端都需要支持它。它不需要与服务器的椭圆曲线密钥使用的曲线相同。此参数只能在 postgresql.conf 文件或服务器命令行中设置。默认值为 prime256v1。

OpenSSL 中最常用曲线的名称为：prime256v1 (NIST P-256)、secp384r1 (NIST P-384)、secp521r1 (NIST P-521)。可以使用命令 openssl ecparam -list_curves 显示所有可用的曲线列表。但并非所有曲线都可以在TLS中使用。

设置要使用的最小 SSL/TLS 协议版本。当前有效值为：TLSv1、TLSv1.1、TLSv1.2、TLSv1.3。旧版本的 OpenSSL 库不支持所有值；如果选择了不受支持的设置，则会引发错误。TLS 1.0 之前的协议版本，即 SSL 版本 2 和 3，始终被禁用。

默认值为 TLSv1.2，截至本文撰写之时，该值符合行业最佳实践。

此参数只能在 postgresql.conf 文件或服务器命令行中设置。

设置要使用的最大 SSL/TLS 协议版本。有效值与 ssl_min_protocol_version 相同，此外还添加了一个空字符串，允许使用任何协议版本。默认值是允许任何版本。设置最大协议版本主要用于测试或某些组件在使用较新协议时存在问题的情况。

此参数只能在 postgresql.conf 文件或服务器命令行中设置。

指定包含用于所谓的短暂 DH 系列 SSL 密码的 Diffie-Hellman 参数的文件名称。默认值为为空，在这种情况下，使用编译时默认的 DH 参数。使用自定义 DH 参数可以降低攻击者设法破解众所周知的编译时 DH 参数的风险。可以使用命令 openssl dhparam -out dhparams.pem 2048 创建自己的 DH 参数文件。

此参数只能在 postgresql.conf 文件或服务器命令行中设置。

设置一个外部命令，当需要获取用于解密 SSL 文件（例如私钥）的密码时调用该命令。默认情况下，此参数为空，这意味着使用内置的提示机制。

该命令必须将密码打印到标准输出并以代码 0 退出。在参数值中，%p 将替换为提示字符串。（对于文字 %，请写 %%。）请注意，提示字符串可能包含空格，因此请确保正确地使用引号。如果存在，则会从输出的末尾删除一个换行符。

该命令实际上不必提示用户输入密码。它可以从文件读取密码，从密钥链设施获取密码，或执行类似操作。用户有责任确保所选机制具有足够的安全性。

此参数只能在 postgresql.conf 文件或服务器命令行中设置。

此参数确定 ssl_passphrase_command 设置的密码命令是否也会在配置重新加载期间调用（如果密钥文件需要密码）。如果此参数为关闭（默认值），则在重新加载期间将忽略 ssl_passphrase_command，并且如果需要密码，则不会重新加载 SSL 配置。该设置适用于需要 TTY 进行提示的命令，在服务器运行时可能无法使用。例如，如果密码是从文件获取的，则可以将此参数设置为打开。

此参数只能在 postgresql.conf 文件或服务器命令行中设置。