| From: | "Gerd Terlutter" <gerd(dot)terlutter(at)web(dot)de> |
|---|---|
| To: | stephan(dot)michael(dot)rupp(at)t-online(dot)de, "EwaldGeschwinde" <webmaster(at)geschwinde(dot)net> |
| Cc: | pgsql-de-allgemein(at)postgresql(dot)org |
| Subject: | Re: Windows 2000: "Postmaster" unter einem Benutzer |
| Date: | 2003-11-05 08:30:45 |
| Message-ID: | 200311050830.hA58UjQ18158@mailgate5.cinetic.de |
| Views: | Raw Message | Whole Thread | Download mbox | Resend email |
| Thread: | |
| Lists: | pgsql-de-allgemein |
Ewald Geschwinde <webmaster(at)geschwinde(dot)net> schrieb am 05.11.03 01:54:49:
[...]
> würde wie gesagt meine es ist nur ein reiner sicherheitsaspekt.
> lg Ewald
>
> stephan(dot)michael(dot)rupp(at)t-online(dot)de wrote:
>
> >Hallo, Liste!
> >
> >Eine (vielleicht blöde) Frage:
> >In vielen Installationsanleitungen für PostgreSQL unter Windows 2000 (via
> >CygWin) ist zu lesen, man solle den "Postmaster" unter einem anderen
> >Benutzer (z. B. "postgres") und nicht unter dem Benutzer "Administrator"
> >laufen lassen.
> >
> >Abgesehen davon, daß es lästig ist, ständig zu wechseln, hier einige
> >Beobachtungen, die es meiner Meinung nach unpraktisch scheinen lassen,
> >den PostgreSQL-Server unter einem anderen Benutzer laufen zu lassen:
> >- Habe den EMS PostgreSQL-Manager installiert (geht richtig (empfohlen)
> > nur, wenn man als Administrator angemeldet ist). Leider ist das Pro-
> > gramm unter dem Benutzerprofil von "postgres" gar nicht sichtbar.
[...]
> >Gruß
> >Struppi
> >
Bin zwar auch ein Pinguin, aber kann dir das grobe Sicherheitsaspekt erklären: auch postgres kann skripte ausführen, daher wird der Systemuser postgres angelegt. Dieser erhält selbstverständlich nur beschränkte Rechte, da er als User root/admin volle Gewalt über das System erlangen würde. Wenn du natürlich regelmässig als root/admin arbeitest kann dir das vollkommen egal sein, es gibt ja keine bösen Jungs, die versuchen an die Rechte eines User zu gelangen um ein System zu kompromitieren. Ausserdem scheint die Weichware aus Redmond extrem 'stealth' gegen solche Attakten zu sein, man liest ja nur von Angriffen auf *ix und Derivate? Du hast aber die Möglichkeit mittels PHPPgAdmin volle DB-admin Rechte zu erlangen. Auf *ix kann ich dir dann noch die Shell oder pgaccess empfehlen. Denn Zugriff auf die Anwendungen führt sys-user gerd aus, da der die Passwörter der DB user/admins kennt, hat er Zugriff entweder als entsprechender user auf eine DB, oder als PG root komplette Kontrolle auf dem PG Server. Das übrige System bleibt davon (weitestgehend) unberührt. Wenn du natürlich auf M$ immer Benutzer Struppi abmeldest, um dich als administrator/postgres anzumelden würde mir das auch stinken ;-)
Gruss,
Gerd
______________________________________________________________________________
Bestes Testergebnis: Stiftung Warentest Doppelsieg fur WEB.DE FreeMail
und WEB.DE Club. Nur fuer unsere Nutzer! http://f.web.de/?mc=021182
| From | Date | Subject | |
|---|---|---|---|
| Next Message | Peter Eisentraut | 2003-11-12 17:13:56 | Deutsche PostgreSQL-Dokumentation online |
| Previous Message | Ewald Geschwinde | 2003-11-04 21:28:00 | Re: Windows 2000: "Postmaster" unter einem Benutzer |