Re: SSL et sécurité des connexions

Bonjour

Stephane Bortzmeyer a écrit :
> 1) Si je tente une connexion sans SSL, le mot de passe n'est
> heureusement jamais envoyé mais le nom de l'utilisateur et la base le
> sont (vérifié avec tcpdump et Wireshark). Cela m'embête un petit
> peu. Y a t-il moyen de régler cela ?
>
le nom et la base sont utilisés pour vérifier les accès via pg_hba.conf,
donc ils doivent être envoyer.
> 2) Je voudrais que le programme fonctionne tout seul la nuit, lancé
> depuis cron. J'hésite entre "ident sameuser" qui me dispenserait de
> mot de passe (mais ident suppose que la machine distante soit fiable)
>
Si ta machine distante n'était pas fiable, le fait de mettre ident ne
changerais rien, vu que ident sert seulement à identifié l'utilisateur
via son compte système. donc si l'accès postgres était corrompu, il n'y
aurait pas que l'accès à la base qui le serait.
> et "md5" qui m'obligerait à mettre un mot de passe en clair dans la
> crontab ("host=mymachine dbname=dnswitness-spf user=dnswitness
> password=oulala sslmode=require"). Pas moyen d'utiliser des clés, à
> la SSH ?
>
Au lieu de laisser trainer le mot de passe dans un script shell ou un
crontab, tu peux utiliser la méthode du fichier .pgpass
> 3) Au fait, si je veux plusieurs préfixes d'adresses IP dans la
> colonne CIDR-ADDRESS, que puis-je faire ? Pour l'instant, je copie la
> ligne et je la colle, après avoir changé le préfixe. La documentation
> ne semble pas prévoir d'autres possibilités ?
>
C'est ce que je fais également, je ne vois pas d'autres solutions sinon
que d'ouvrir l'accès à toutes les adresses

Cordialement,

Christophe Chauvet.