Re: Windows pg_hba.conf editable

Es sólo una idea, dentro de Windows instalar una VM de Ubuntu-server (hasta
encriptarla), exponer el puerto 5432 y configurar pg_hba sólo acceso a la
máquina anfitrión.

La VM la puedes programar que se inicie al reiniciar Windows, sólo tienes
acceso al usuario root de ubuntu y no sería posible modificar la
configuración de postgresql.

Aunque eso no evita que puedan realizar copias de seguridad usando
pg_dump desde la máquina anfitrión a menos que tu app sólo tenga la clave
de acceso al servidor postgresql.
[image: image.png]

El jue, 4 jul 2024 a las 13:14, Javier Jimenez Matilla (<
jjmatilla(at)coviran(dot)es>) escribió:

> Disculpad, gracias al resto, no había leído las demás respuestas. Entiendo
> que con este mensaje queda claro lo que intento hacer, sé que es complejo,
> con otros sistemas de gestión no es complicado, incluso he pensado en
> descargarme el código de Postgres, quitar trust e intentar descifrar con
> BitLocker leer y volver a cifrar, pero escribía por si existen otras
> alternativas, me encanta Postgres y entiendo que a alguien le habrá pasado
> algo similar.
>
> Saludos
>
> ------------------------------
> *De:* Javier Jimenez Matilla <jjmatilla(at)coviran(dot)es>
> *Enviado:* jueves, 4 de julio de 2024 18:00
> *Para:* Gabriel Guillem Barceló Soteras <gbarcelo(at)parlamentib(dot)es>;
> Horacio Miranda <hmiranda(at)gmail(dot)com>; Mario González Troncoso <
> gonzalemario(at)gmail(dot)com>
> *Cc:* pgsql-es-ayuda(at)postgresql(dot)org <pgsql-es-ayuda(at)postgresql(dot)org>
> *Asunto:* RE: Windows pg_hba.conf editable
>
> Muchísimas gracias por la respuesta Gabriel.
>
> Necesito distribuir una aplicación en un servidor offline, este servidor
> debe ser Windows por temas de drivers y otros programas, en esa aplicación
> servidor necesito tener postgres instalado, pero claro, debido a que
> comparto máquina con otros proveedores de software no puedo estar seguro de
> que alguien pueda copiar datos y menos cambiar esta seguridad de conexión
> con trust.
>
> Tenía pensado crear un disco con bitlocker donde almacenar la información
> y darle acceso al servicio de postgres, pero me mata tener el pg_hba.conf
> donde colocando trust acceden todos.
>
> Por tanto, entiendo que postgres está pensado para tenerlo en un servidor
> aislado, pero preguntaba por si existe alguna solución para conseguir que
> no se pueda consultar la información.
>
> Además de esto del acceso tengo pensado encriptar la información sensible
> en la base de datos en sí. Pero como digo entiendo que no es posible esta
> solución.
>
> Muchas gracias de nuevo.
>
> Un saludo
> ------------------------------
> *De:* Gabriel Guillem Barceló Soteras <gbarcelo(at)parlamentib(dot)es>
> *Enviado:* jueves, 4 de julio de 2024 17:49
> *Para:* Horacio Miranda <hmiranda(at)gmail(dot)com>; Mario González Troncoso <
> gonzalemario(at)gmail(dot)com>; Javier Jimenez Matilla <jjmatilla(at)coviran(dot)es>
> *Cc:* pgsql-es-ayuda(at)postgresql(dot)org <pgsql-es-ayuda(at)postgresql(dot)org>
> *Asunto:* Re: Windows pg_hba.conf editable
>
> Si no tienes control sobre la VM del servidor postgres (tu cliente
> entiendo?) no podrás hacer mucho. Aunque consigas algo parecido a bloquear
> hba.conf: Por poner un ejemplo, el propietario, o el Administrador puede
> copiar la carpeta de los datos de tablas de postgres, y con otro servicio
> postgres de la misma versión podrá leer estos datos. A parte que también
> puede replicar tu version capada de postgres con otra 'normal'
>
> Si especificas un poco mejor lo que intentas conseguir, quizás alguien
> pueda ayudarte mejor.
>
> Saludos,
> Gabriel
>
> Sent from Outlook for Android <https://aka.ms/AAb9ysg>
> ------------------------------
> *From:* Horacio Miranda <hmiranda(at)gmail(dot)com>
> *Sent:* Thursday, July 4, 2024 3:54:59 PM
> *To:* Mario González Troncoso <gonzalemario(at)gmail(dot)com>; Javier Jimenez
> Matilla <jjmatilla(at)coviran(dot)es>
> *Cc:* pgsql-es-ayuda(at)postgresql(dot)org <pgsql-es-ayuda(at)postgresql(dot)org>
> *Subject:* Re: Windows pg_hba.conf editable
>
> Osea si no tienes la maquina protegida con la cuenta de administrador en
> tu control es muy poco lo que puedes hacer para proteger la base o el
> pg_hba.conf
>
> La unica protección que me imagino que puedas hacer es que tu instalado
> use otro usuario y cerrar ese usuario de alguna forma.
>
> si instalas un programa sentinel que haga un hash del archivo y detecte
> cuando sea modificado y baje la base y pida soporte puede ser... pero es
> algo rebuscado.
>
> On 5/07/2024 1:51 am, Mario González Troncoso wrote:
> > On Thu, 4 Jul 2024 at 02:21, Javier Jimenez Matilla
> > <jjmatilla(at)coviran(dot)es> wrote:
> >> Hola que tal?,
> >>
> >> Existe alguna forma de quitar el pg_hba.conf o al menos que no se pueda
> editar. Tengo problemas para hacer una versión distribuible a clientes para
> Windows, necesito que no se pueda acceder al almacén de datos y con este
> fichero no puedo garantizar la seguridad. ¿Conocéis alguna alternativa?
> >>
> > Ese archivo es un archivo mas que es parte de la instalación de tu DB
> > y va a tener acceso por los usuarios de la misma forma que proteges
> > otro archivo de otros usuarios. Tendrás que buscar algo específico de
> > microsoft como "cerrarlo".
> >
> >> Gracias
> >>
> >>
> >>
> >> Javier Jiménez Matilla
> >> Dirección IT, Corporativo y del PDV | Desarrollo y Nuevas tecnologías
> >> jjmatilla(at)coviran(dot)es · +34 673 875 335
> >> Ctra. Nac. 432, km. 431 · 18230 Atarfe GRANADA
> >> www.coviran.es · T +34 958 808 300
> >>
> >>
> >> No me imprimas si no es necesario. Protejamos el medio ambiente.
> >> Aviso de confidencialidad: Este correo con sus documentos anexos es
> privado y confidencial. Va dirigido exclusivamente a su destinatario.
> Covirán informa a quien pueda haber recibido por error este correo, que
> contiene información confidencial cuyo uso, copia, reproducción o
> distribución está expresamente prohibido. Si no es Vd. el destinatario del
> correo y lo recibe por error, le rogamos lo ponga en conocimiento del
> emisor y lo elimine sin copiarlo, imprimirlo o utilizarlo de ningún modo.
> >
> >
>
>
>