可以使用SSH来加密客户端与PostgreSQL服务器之间的网络连接。如果配置得当，即使客户端本身不支持 SSL，这种方法也能提供足够安全的网络连接。

首先确认在PostgreSQL服务器所在的同一台机器上有一个正常运行的SSH服务器，并且你可以使用ssh以某个用户身份登录；然后就可以建立通向远程服务器的安全隧道。安全隧道会监听本地端口，并把所有流量转发到远程机器上的某个端口。发送到该远程端口的流量可以到达其localhost地址，或者在需要时到达其他绑定地址；对远端来说，这些流量看起来并不是来自你的本地机器。下面这个命令会创建一条从客户端机器到远程机器foo.com的安全隧道：

ssh -L 63333:localhost:5432 joe@foo.com

-L参数中的第一个数字 63333 是隧道在本地的端口号；它可以是任何未使用的端口。（IANA 保留 49152 到 65535 端口供私用。）其后的名称或 IP 地址是你要连接的远程绑定地址，这里是默认值localhost。第二个数字 5432 是隧道远端的端口，例如数据库服务器所使用的端口。要通过这条隧道连接数据库服务器，只需连接本地机器上的 63333 端口：

psql -h localhost -p 63333 postgres

对数据库服务器来说，它看到的是来自主机foo.com上用户joe对localhost绑定地址的连接，并将应用为该用户到该绑定地址所配置的认证方式。请注意，服务器不会认为这是 SSL 加密连接，因为实际上SSH服务器与PostgreSQL服务器之间并没有加密。不过这通常不会带来额外安全风险，因为两者位于同一台机器上。

要让这条隧道建立成功，你必须能够像建立终端会话那样，通过ssh以joe@foo.com身份连接。

你也可以把端口转发设成这样：

ssh -L 63333:foo.com:5432 joe@foo.com

但这样一来，数据库服务器会把该连接看作是到达其foo.com绑定地址的连接，而默认设置listen_addresses = 'localhost'并不会监听该地址。这通常不是你想要的结果。

如果你必须经由某个登录主机“跳转”到数据库服务器，那么一种可能的设置如下：

ssh -L 63333:db.foo.com:5432 joe@shell.foo.com

请注意，这种从shell.foo.com到db.foo.com的连接不会受到 SSH 隧道的加密保护。当网络受到各种限制时，SSH 还提供了许多其他配置方式。详情请参阅 SSH 文档。