From: | Patrick <pat(at)patoche(dot)org> |
---|---|
To: | Pgsql Fr Generale <pgsql-fr-generale(at)postgresql(dot)org> |
Subject: | Re: Re |
Date: | 2005-01-20 15:38:56 |
Message-ID: | 20050120153856.GO18922@nohope.patoche.org |
Views: | Raw Message | Whole Thread | Download mbox | Resend email |
Thread: | |
Lists: | pgsql-fr-generale |
Didier BRETIN <dbr(at)informactis(dot)com> 2005-01-20 16:21
> Patrick a écrit :
> >1) bien configurer son pg_hba.conf
>
> Qu'entendez-vous par là ?
Juste le fait de n'autoriser pile ce qu'il faut, pas plus !
> >2) mettre en place un firewall au niveau OS
>
> Effectivement nos machines postgresql sont déjà derrière une
> machine firewall indépendante.
Personnellement, je pense à un firewall *sur* la machine où il y a
postgresql, pour éviter à ce dernier de recevoir du trafic qui ne lui
est pas destiné au final.
> >Pour un besoin ponctuel, vous pouvez aussi faire une redirection de
> >port avec ssh, ce qui vous permet de garder postgresql sur localhost,
> >de vous connecter à distance, et de chiffrer le trafic de bout en
> >bout.
>
> Ah bon ? Même si mon serveur est configuré pour répondre sur du
> localhost je peux rediriger via SSL le couple localhost/5432 de ma
(SSH, pas SSL)
> machine postgresql vers une autre machine/port ? Je croyais que ce
> genre de redirection ne fonctionnait pas pour du localhost ... Je
> serais curieux de savoir comment vous faites ;).
Avec l'option -L, qui permet de ``rediriger'' un port distant comme
s'il était local.
Exemple:
*) sur mon serveur, je simule postgresql :-)
nc -l -p 5555 -s localhost
*) sur mon poste, je fais:
ssh -L 4444:localhost:5555 <leserveur>
(cf aussi l'option -N qui est utile dans ce cas là)
*) j'ai alors sur mon poste le port 4444 ouvert (sur localhost
uniquement, donc pas de risques), et:
telnet localhost 4444
Trying 127.0.0.1...
Connected to localhost.localdomain.
Escape character is '^]'.
TEST
me donne dans l'autre fenêtre avec le nc:
TEST
Ca passe bien :-)
Le ssh qui tourne sur le serveur (l'autre bout de ma connexion donc),
est une appli locale sur le serveur, et peut donc faire une connexion
sur localhost puisqu'elle est locale.
C'est une méthode rapide et pratique quand vous avez besoin juste de
lancer un pgaccess par exemple, quand ce dernier est sur le client et
que le serveur n'a rien de l'interface graphique, et que vous ne
voulez pas changer les autorisations d'accès.
--
Patrick Mevzek
The reasonable man adapts himself to the world; the unreasonable one
persists in trying to adapt the world to himself. Therefore all
progress depends on the unreasonable man. -- George Bernard Shaw
From | Date | Subject | |
---|---|---|---|
Next Message | Jean-Christophe Arnu | 2005-01-20 15:48:54 | Re: Re |
Previous Message | Didier BRETIN | 2005-01-20 15:17:25 | Re: Base de données Postg |