Skip site navigation (1) Skip section navigation (2)

Re: SSL et sécurité des connexions

From: Christophe Chauvet <christophe(at)kryskool(dot)org>
To: Stephane Bortzmeyer <bortzmeyer(at)nic(dot)fr>
Cc: pgsql-fr-generale(at)postgresql(dot)org
Subject: Re: SSL et sécurité des connexions
Date: 2008-11-17 13:41:46
Message-ID: 4921749A.9030509@kryskool.org (view raw or flat)
Thread:
Lists: pgsql-fr-generale
Bonjour

Stephane Bortzmeyer a écrit :
> 1) Si je tente une connexion sans SSL, le mot de passe n'est
> heureusement jamais envoyé mais le nom de l'utilisateur et la base le
> sont (vérifié avec tcpdump et Wireshark). Cela m'embête un petit
> peu. Y a t-il moyen de régler cela ?
>   
le nom et la base sont utilisés pour vérifier les accès via pg_hba.conf, 
donc ils doivent être envoyer.
> 2) Je voudrais que le programme fonctionne tout seul la nuit, lancé
> depuis cron. J'hésite entre "ident sameuser" qui me dispenserait de
> mot de passe (mais ident suppose que la machine distante soit fiable)
>   
Si ta machine distante n'était pas fiable, le fait de mettre ident ne 
changerais rien, vu que ident sert seulement à identifié l'utilisateur 
via son compte système. donc si l'accès postgres était corrompu, il n'y 
aurait pas que l'accès à la base qui le serait.
> et "md5" qui m'obligerait à mettre un mot de passe en clair dans la
> crontab ("host=mymachine dbname=dnswitness-spf user=dnswitness
> password=oulala sslmode=require"). Pas moyen d'utiliser des clés, à
> la SSH ? 
>   
Au lieu de laisser trainer le mot de passe dans un script shell ou un 
crontab, tu peux utiliser la méthode du fichier .pgpass
> 3) Au fait, si je veux plusieurs préfixes d'adresses IP dans la
> colonne CIDR-ADDRESS, que puis-je faire ? Pour l'instant, je copie la
> ligne et je la colle, après avoir changé le préfixe. La documentation
> ne semble pas prévoir d'autres possibilités ?
>   
C'est ce que je fais également, je ne vois pas d'autres solutions sinon 
que d'ouvrir l'accès à toutes les adresses

Cordialement,

Christophe Chauvet.





In response to

Responses

pgsql-fr-generale by date

Next:From: Stephane BortzmeyerDate: 2008-11-17 14:09:30
Subject: Re: SSL et sécurit?==?iso-8859-1?Q?é des connexions
Previous:From: Stephane BortzmeyerDate: 2008-11-17 13:26:01
Subject: SSL et sécurit?==?iso-8859-1?Q?é des connexions

Privacy Policy | About PostgreSQL
Copyright © 1996-2014 The PostgreSQL Global Development Group