| From: | Rensi Arteaga Copari <rarteaga(at)ende(dot)bo> |
|---|---|
| To: | Alvaro Herrera <alvherre(at)alvh(dot)no-ip(dot)org> |
| Cc: | pgsql-es-ayuda(at)postgresql(dot)org |
| Subject: | Re: Fwd: problemas con supersusuario |
| Date: | 2010-03-15 19:05:47 |
| Message-ID: | 4B9E850B.9080001@ende.bo |
| Views: | Raw Message | Whole Thread | Download mbox | Resend email |
| Thread: | |
| Lists: | pgsql-es-ayuda |
Se que esta mal tener tantos superusuarios, y lo que quiero hacer es
quitarle los privilegios
a todos para que solo que los únicos supersusarios sean el
predefinido postgres y el mio rarteaga,
y después ir dando privilegios granularmente.
Pero el problema es que no se tomo en cuenta la seguridad de entrada
y todos los programadores son superusuarios y ahora que quiero
quitarles este privilegio
me saltan errores de permiso denegado: ami que sigo siendo
superusuario y la usuarios cotidianos de la base que acceden a través
de una aplicación Web
La función que construi es para asignar como dueños de todos los objetos
de la base de datos al superusuario "postgres"
por que pense que el problema podía deberse a que los programadores eran
los dueños de los objetos, pero no funciono
El 15/03/10 13:54, Alvaro Herrera escribió:
> Rensi Arteaga Copari escribió:
>
>
>> Pero después de quitar algunos supersusuarios,
>> cuando otros usuarios y yo (que soy superusuario todavia)
>> accedemos a la base de datos
>> me sale un error
>>
>> #42501 - permiso denegado para la relación vad_partida_detalle
>>
>>
>> Pense que esto podría ser debido a que los usuarios
>> desarrolladores son dueños de varias funciones, vistas y tablas
>> y cree una función para asignar como dueño de todo los objetos al
>> usuario "postgres" (esto en en base a una que encontré por la
>> lista)
>> pero el problemas persiste y ya no se por donde más buscar el problemas
>> (a demas que me parece muy raro que a un superusuario le salga
>> permiso denegado)
>>
> Esto de usar un usario de sistema es una idea muy mala. Deberías tener
> uno o más usuarios propios que sean dueños de los objetos (tablas,
> funciones); idealmente no debería ser superusuario. Además deberías
> tener otros usuarios que tengan acceso restringido para ejecutar
> acciones de la aplicación. Todo eso debería seguir una política de
> control de acceso bien definida; eso de "cambiar todos los dueños con
> esta función que escribí" ciertamente no cae en esa categoría.
>
>
--
EMPRESA NACIONAL DE ELECTRICIDAD
www.ende.bo
Tel.: (591-4) 4520253 - 4520228
Fax: (591-4) 4520318
---------------------------------------------------------------------------------
Este mensaje ha sido analizado automaticamente por el MailScanner de ENDE
y no han sido detectados virus ni otros contenidos peligrosos.
| From | Date | Subject | |
|---|---|---|---|
| Next Message | Oswaldo Hernández | 2010-03-15 19:13:24 | Re: fk a pg_authid |
| Previous Message | Alvaro Herrera | 2010-03-15 18:55:25 | Re: fk a pg_authid |