From: | Stephane Bortzmeyer <bortzmeyer(at)nic(dot)fr> |
---|---|
To: | pgsql-fr-generale(at)postgresql(dot)org |
Subject: | SSL et sécurité des connexions |
Date: | 2008-11-17 13:26:01 |
Message-ID: | 20081117132601.GA2776@nic.fr |
Views: | Raw Message | Whole Thread | Download mbox | Resend email |
Thread: | |
Lists: | pgsql-fr-generale |
http://www.postgresql.org/docs/current/static/client-authentication.html
Je cherche à rendre une base accessible depuis d'autres machines du
réseau local. Je ne suis pas sûr qu'un « sniffer » ne traine pas sur
ce réseau donc je me dis « SSL ! »
J'ai mis dans ph_hba.conf :
hostssl all dnswitness 192.134.7.240/28 md5
Je peux me connecter en SSL, et, si je mets "sslmode=disable", ej
suis, à juste titré, refusé.
Maintenant, quelques questions philosophico-techniques :
1) Si je tente une connexion sans SSL, le mot de passe n'est
heureusement jamais envoyé mais le nom de l'utilisateur et la base le
sont (vérifié avec tcpdump et Wireshark). Cela m'embête un petit
peu. Y a t-il moyen de régler cela ?
2) Je voudrais que le programme fonctionne tout seul la nuit, lancé
depuis cron. J'hésite entre "ident sameuser" qui me dispenserait de
mot de passe (mais ident suppose que la machine distante soit fiable)
et "md5" qui m'obligerait à mettre un mot de passe en clair dans la
crontab ("host=mymachine dbname=dnswitness-spf user=dnswitness
password=oulala sslmode=require"). Pas moyen d'utiliser des clés, à
la SSH ?
3) Au fait, si je veux plusieurs préfixes d'adresses IP dans la
colonne CIDR-ADDRESS, que puis-je faire ? Pour l'instant, je copie la
ligne et je la colle, après avoir changé le préfixe. La documentation
ne semble pas prévoir d'autres possibilités ?
From | Date | Subject | |
---|---|---|---|
Next Message | Christophe Chauvet | 2008-11-17 13:41:46 | Re: SSL et sécurité des connexions |
Previous Message | Dimitri Fontaine | 2008-11-17 12:18:02 | Re: PGXMl? |