Re: postgresql: RDMS y firewall

From: Juan Martínez <jeugenio(at)umcervantes(dot)cl>
To: deepthroat <dblackbeer(at)gmail(dot)com>
Cc: Linder Poclaba <linder(dot)poclaba(at)gmail(dot)com>, lista postrges <pgsql-es-ayuda(at)postgresql(dot)org>
Subject: Re: postgresql: RDMS y firewall
Date: 2006-09-30 00:39:52
Message-ID: 451DBCD8.1000406@umcervantes.cl
Views: Raw Message | Whole Thread | Download mbox | Resend email
Thread:
Lists: pgsql-es-ayuda

deepthroat escribió:
> 2006/9/29, Linder Poclaba <linder(dot)poclaba(at)gmail(dot)com>:
>> 2006/9/29, deepthroat <dblackbeer(at)gmail(dot)com>:
>> > Me nace la inquietud por la cantidad de personas que se incian en
>> > Postgresql y chocan contra los problemas al conectarse.

Eso tiene que ver con una incultura sobre la seguridad basica de un
sistema que funciona a traves de una red.

>> > La pregunta es:
>> > No pensaran los desarrolladores en sacar algún día en postgresql la
>> > funcionalidad de controlar el acceso por direcciones que se da por
>> > medio de pg_hba.conf y listen_adresses?

Seria pesima idea.

Normalmente los hackers son tipos lo suficientemente brillantes
intelectualmente (por no decir que son muy cool!).

Por que desconfiar de ellos?

>> > No me cierra mucho eso de que un motor de base de datos haga tb de
>> > firewall si para eso esta el firewall.

Nada que ver.

Necesitas una leida urgente, de por ejemplo, netfilter.

PG_HBA.conf no es en ningun caso un especie de firewall.

>> Hola y si por algun motivo lograrán pasar tu firewall, y no existira
>> pg_hba.conf y listen_address tu DB estaría vulnerable.

Ocurre que uno no deberia abrir hacia internet una base de datos. Si eso
fuera necesario, se deben ocupar tecnicas de seguridad, como por
ejemplo, una VPN.

> si lograran pasar mi firewall quiza tambien ya puedan modificar las
> reglas de pg_hba.conf

No necesariamente. Me voy a referir a Linux para tomar mi punto de vista.

Uno esperaria, si se le tiene el suficiente respeto a los datos que
estan en una BD, que el servidor de bases de datos opere como unico
servicio en un computador. Es una suerte de ideal que normalmente se cumple.

Si se cumple lo anterior, obtener un acceso de shell a traves de
postgres seria un problema que podria terminar con postgres. Seria un
fallo de seguridad tan enorme que el efecto puede ser funesto para el
proyecto.

Cuando no se cumple lo anterior, la vulnerabilidad normalmente va por
otros motivos. En muy general:

- Apache (si es que esta) muy mal configurado o muy viejo, con un PHP
normalmente muy mal programado.
- SSH sin restriccion de acceso root.
- Password muy tontas
- Otros servicios innecesarios abiertos y mal configurados (esto debe
ser uno de los motivos mas comunes)

Para finalizar, pg_hba.conf es un dispositivo de seguridad para que
entren a la BD los usuarios determinados a especificas bases de datos
desde determinadas direcciones. En resumen es para dar
acceso/restriccion a los datos propiamente tal.

Eso un FW no lo puede hacer, por que el trabaja en una capa distinta
(si, hablo de OSI). El da seguridad a nivel de accesos a maquinas y a
puertos especificos.

--
Juan Martinez G.
Departamento de Informatica
Universidad Miguel de Cervantes

In response to

Browse pgsql-es-ayuda by date

  From Date Subject
Next Message Alexander Quilca 2006-09-30 00:45:53 Off Topic - PHP Transacciones Postgresql
Previous Message Linder Poclaba 2006-09-30 00:37:34 Re: postgresql: RDMS y firewall