From: | Eduardo Morras <emorrasg(at)yahoo(dot)es> |
---|---|
To: | pgsql-es-ayuda(at)postgresql(dot)org |
Subject: | Re: Compilar Postgresql sin OpenSSL con LibreSSL u otra similar |
Date: | 2016-02-11 13:31:25 |
Message-ID: | 20160211143125.ef43c9f2db4f770369360960@yahoo.es |
Views: | Raw Message | Whole Thread | Download mbox | Resend email |
Thread: | |
Lists: | pgsql-es-ayuda |
On Thu, 11 Feb 2016 09:55:42 -0300
Cesar Erices <caerices(at)gmail(dot)com> wrote:
> Estimado Eduardo, buenos dias.
>
> La seguridad al 100% no existe, ya sea a nivel de aplicación o
> comunicación. La opción de dejar el servidor sin SSL *NO *debe ser
> opcón para tí.
>
> Ahora bien, porque crees que el cliente aceptará que trabajes con
> LibreSSL, ¿porque es más seguro?.
>
> Como recomendación te sugiero conversar con el cliente y solicitar su
> opinión al respecto entregando las distintas alternativas,
> personalmente prefiero establecer una comunicación segura.
No, puede que no me haya explicado bien, el cliente SI quiere SSL/TLS, pero no la implementacion de OpenSSL. Las aplicaciones usan LibreSSL, modificando /postgresql/src/interfaces/libpq/fe-secure-openssl.c y cambiado de nombre a fe-secure-libressl.c para que compile con libressl (cambios minimos, ya que tiene modo de compatibilidad con openssl)
Las dos opciones que tengo en mente, son:
a) Compilar PostgreSQL con LibreSSL u otra implementacion, como mbedtls/polarssl o nss.
b) Poner en la misma maquina que el servidor pgbouncer, compilado con LibreSSL. Las conexiones de los clientes a pgbouncer son seguras y entre pgbouncer y PostgreSQL no creo que hagan falta al compartir maquina.
En el caso a), desconozco si basta con modificar el makefile o configuracion de postgres, no he encontrado ninguna entrada en el ./configure para usar libressl. ¿Bastaria con compilar postgresql para que use mi fe-secure-libressl.c? Se usa openssl en alguna otra parte?
En el caso b) basta con compilar pgbouncer con libressl, opcion soportada en su ultima version 1.7
Por cuestiones de licencia, GPL/LGPL no se puede usar.
> Saludos
Gracias de nuevo
--- ---
Eduardo Morras <emorrasg(at)yahoo(dot)es>
-
Enviado a la lista de correo pgsql-es-ayuda (pgsql-es-ayuda(at)postgresql(dot)org)
Para cambiar tu suscripción:
http://www.postgresql.org/mailpref/pgsql-es-ayuda
From | Date | Subject | |
---|---|---|---|
Next Message | Alvaro Herrera | 2016-02-11 16:42:50 | Re: Compilar Postgresql sin OpenSSL con LibreSSL u otra similar |
Previous Message | Cesar Erices | 2016-02-11 12:55:42 | Re: Compilar Postgresql sin OpenSSL con LibreSSL u otra similar |