From: | Christophe Chauvet <christophe(at)kryskool(dot)org> |
---|---|
To: | Stephane Bortzmeyer <bortzmeyer(at)nic(dot)fr> |
Cc: | pgsql-fr-generale(at)postgresql(dot)org |
Subject: | Re: SSL et sécurité des connexions |
Date: | 2008-11-17 13:41:46 |
Message-ID: | 4921749A.9030509@kryskool.org |
Views: | Raw Message | Whole Thread | Download mbox | Resend email |
Thread: | |
Lists: | pgsql-fr-generale |
Bonjour
Stephane Bortzmeyer a écrit :
> 1) Si je tente une connexion sans SSL, le mot de passe n'est
> heureusement jamais envoyé mais le nom de l'utilisateur et la base le
> sont (vérifié avec tcpdump et Wireshark). Cela m'embête un petit
> peu. Y a t-il moyen de régler cela ?
>
le nom et la base sont utilisés pour vérifier les accès via pg_hba.conf,
donc ils doivent être envoyer.
> 2) Je voudrais que le programme fonctionne tout seul la nuit, lancé
> depuis cron. J'hésite entre "ident sameuser" qui me dispenserait de
> mot de passe (mais ident suppose que la machine distante soit fiable)
>
Si ta machine distante n'était pas fiable, le fait de mettre ident ne
changerais rien, vu que ident sert seulement à identifié l'utilisateur
via son compte système. donc si l'accès postgres était corrompu, il n'y
aurait pas que l'accès à la base qui le serait.
> et "md5" qui m'obligerait à mettre un mot de passe en clair dans la
> crontab ("host=mymachine dbname=dnswitness-spf user=dnswitness
> password=oulala sslmode=require"). Pas moyen d'utiliser des clés, à
> la SSH ?
>
Au lieu de laisser trainer le mot de passe dans un script shell ou un
crontab, tu peux utiliser la méthode du fichier .pgpass
> 3) Au fait, si je veux plusieurs préfixes d'adresses IP dans la
> colonne CIDR-ADDRESS, que puis-je faire ? Pour l'instant, je copie la
> ligne et je la colle, après avoir changé le préfixe. La documentation
> ne semble pas prévoir d'autres possibilités ?
>
C'est ce que je fais également, je ne vois pas d'autres solutions sinon
que d'ouvrir l'accès à toutes les adresses
Cordialement,
Christophe Chauvet.
From | Date | Subject | |
---|---|---|---|
Next Message | Stephane Bortzmeyer | 2008-11-17 14:09:30 | Re: SSL et sécurité des connexions |
Previous Message | Stephane Bortzmeyer | 2008-11-17 13:26:01 | SSL et sécurité des connexions |