Quick Links

Re: Preguntas sobre seguridad

From:	Alvaro Herrera Munoz <alvherre(at)dcc(dot)uchile(dot)cl>
To:	ogarzon(at)andinet(dot)com
Cc:	pgsql-es-ayuda(at)postgresql(dot)org
Subject:	Re: Preguntas sobre seguridad
Date:	2004-04-22 23:37:26
Message-ID:	20040422233726.GC22783@dcc.uchile.cl
Views:	Raw Message \| Whole Thread \| Download mbox \| Resend email
Thread:
Lists:	pgsql-es-ayuda

On Thu, Apr 22, 2004 at 12:13:14PM -0500, ogarzon(at)andinet(dot)com wrote:

> 1. La Comunicaci?n entre el appserver y el servidor postgres deber ir encriptada.
> A este nivel entiendo que debo usar un driver jdbc con soporte para SSL,
> es esto correcto? donde puedo conseguir algo m?s de detalle o ejemplos de
> esta implementaci?n.

Entiendo que el driver JDBC soporta SSL. Para activarla simplemente
deja el servidor en modo "hostssl" en pg_hba.conf (solo en 7.4)

> - Cambio de los archivos de conf de seguridad, por ejemplo pg_hba.conf, y
> con un simple trust, ya no hay verificaci?n de contrase?as, .pgaccess, etc.
> Podr?a recompilar postgres para eliminar estas opciones de confianza?

No sirve de nada (puede llegar alguien y recompilar un Postgres estandar
con esas opciones activadas)

> - Pero entonces, es posible copiar como en mysql el directorio con las bases
> de datos, a otra instancia de mysql sin mayores controles de acceso, pasando
> por alto por completo la estructura de acceso de la primera instancia?

No es tan sencillo, pero de que se puede se puede. En realidad si
tienes acceso al directorio de datos puedes cambiar pg_hba y adios con
la seguridad.

Si deseas mas seguridad que eso, me temo que tendrias que usar un
sistema de archivos encriptado, pero habria que poner la password
manualmente cada vez que quieras montarlo.

> En ?ltimas, como puedo tener confidencialidad en los datos que
> almaceno en el postgres, y que ni siquiera con privilegios de
> administraci?n de sistema se pueda vulnerar de forma trivial. No se si
> este punto es por completo descabellado, simplemente tengo en la
> cabeza implementaciones de archivos encriptados en el sistema, que
> puedan ser le?dos solo mediante el conocimiento de las llaves
> adecuadas, y no simplemente mediante privilegios en el sistema. .

Si tienes una motivacion muy fuerte para hacer esto quizas necesites
usar el sistema de capabilities, o SELinux (el cual puedes encontrar en
Fedora Core 2 test2 actualmente). Ojo, material en desarrollo altamente
inflamable.

Pregunta en <pgsql-admin(at)postgresql(dot)org>, quizas ahi tengan mejores
ideas.

--
Alvaro Herrera (<alvherre[(at)]dcc(dot)uchile(dot)cl>)
One man's impedance mismatch is another man's layer of abstraction.
(Lincoln Yeoh)

In response to

Preguntas sobre seguridad at 2004-04-22 17:13:14 from ogarzon

Responses

Re: Preguntas sobre seguridad at 2004-04-23 12:14:06 from Martin Marques
respaldos incrementales at 2004-04-28 00:30:19 from Roberto César Najera Núñez

Browse pgsql-es-ayuda by date

	From	Date	Subject
Next Message	Juan Carlos Mendoza	2004-04-22 23:56:48	Re: tiggers
Previous Message	Alvaro Herrera Munoz	2004-04-22 23:23:57	Re: tiggers