Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Administration PostgreSQL Discussion :

pg_hba.conf n'autoriser que quelques @IP sans mot de passe


Sujet :

Administration PostgreSQL

  1. #1
    Candidat au Club
    Homme Profil pro
    Ingénieur systèmes et réseaux
    Inscrit en
    février 2020
    Messages
    2
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Nord (Nord Pas de Calais)

    Informations professionnelles :
    Activité : Ingénieur systèmes et réseaux

    Informations forums :
    Inscription : février 2020
    Messages : 2
    Points : 3
    Points
    3
    Par défaut pg_hba.conf n'autoriser que quelques @IP sans mot de passe
    Bonjour,
    Afin de sécuriser l'accès à ma BDD Postgres, je souhaite n'autoriser que 4 @IP dans le fichier pg_hba.conf.
    Je ne souhaite pas utiliser les masques car le réseau serait trop important.

    Comment faire ?

    Une ligne par @ IP ou on peut mettre plusieurs @IP sur la même ligne ?

    Mes 4 @IP de mes serveurs A.B.C.1 à 4 - par exemple

    # TYPE DATABASE USER ADDRESS METHOD
    local all postgres A.B.C.1/32 trust
    local all postgres A.B.C.2/32 trust
    local all postgres A.B.C.3/32 trust
    local all postgres A.B.C.4/32 trust

    Cette configuration, permetra-t-elle à mes 4 serveurs d'accéder à toutes mes BDD avec le compte postrgres sans utilisation de mot de passe ?

    Merci par avance de vos réponses.

  2. #2
    ced
    ced est déconnecté
    Rédacteur/Modérateur

    Avatar de ced
    Homme Profil pro
    Gestion de bases de données techniques
    Inscrit en
    avril 2002
    Messages
    5 813
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 44
    Localisation : France, Loiret (Centre)

    Informations professionnelles :
    Activité : Gestion de bases de données techniques
    Secteur : Agroalimentaire - Agriculture

    Informations forums :
    Inscription : avril 2002
    Messages : 5 813
    Points : 23 006
    Points
    23 006
    Par défaut
    Bonjour,

    Pour le premier paramètre, il faut mettre "host" et pas "local". "local" intercepte uniquement les tentatives de connexion utilisant les sockets du domaine Unix du serveur...
    Pour répondre à votre question, il vous faut mettre une ligne par adresse IP.

    Enfin, je vous déconseille très fortement le "trust"... Qui plus est avec le compte "postgres", qui est superutilisateur. Là, vous prenez de très gros risques !

    ced
    Rédacteur / Modérateur SGBD et R
    Mes tutoriels et la FAQ MySQL

    ----------------------------------------------------
    Pensez aux balises code et au tag
    Une réponse vous a plu ? N'hésitez pas à y mettre un
    Je ne réponds pas aux questions techniques par message privé, les forums sont là pour ça

  3. #3
    Membre éprouvé

    Homme Profil pro
    Auditeur informatique
    Inscrit en
    novembre 2014
    Messages
    688
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 36
    Localisation : Tunisie

    Informations professionnelles :
    Activité : Auditeur informatique
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : novembre 2014
    Messages : 688
    Points : 1 223
    Points
    1 223
    Billets dans le blog
    2
    Par défaut
    Configuration Null en terme sécurité

    flux ouvert depuis multiserveur avec une compte super user sans password

  4. #4
    Candidat au Club
    Homme Profil pro
    Ingénieur systèmes et réseaux
    Inscrit en
    février 2020
    Messages
    2
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Nord (Nord Pas de Calais)

    Informations professionnelles :
    Activité : Ingénieur systèmes et réseaux

    Informations forums :
    Inscription : février 2020
    Messages : 2
    Points : 3
    Points
    3
    Par défaut
    Merci de vos réponses.

    Je comprends que ce n'est pas secure, même si mes serveurs sont déjà sécurisés (les accès aux serveurs sont très restreints).

    Si je voulais améliorer la sécurité, ce serait de passer en md5 au lieu de trust (voire scram-sha-256) ... mais pour cela, il faut que mon applicatif le permette (et là je n'ai pas la main dessus).

  5. #5
    Membre éprouvé

    Homme Profil pro
    Auditeur informatique
    Inscrit en
    novembre 2014
    Messages
    688
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 36
    Localisation : Tunisie

    Informations professionnelles :
    Activité : Auditeur informatique
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : novembre 2014
    Messages : 688
    Points : 1 223
    Points
    1 223
    Billets dans le blog
    2
    Par défaut
    Essayer de faire la configuration de .pgpass

  6. #6
    ced
    ced est déconnecté
    Rédacteur/Modérateur

    Avatar de ced
    Homme Profil pro
    Gestion de bases de données techniques
    Inscrit en
    avril 2002
    Messages
    5 813
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 44
    Localisation : France, Loiret (Centre)

    Informations professionnelles :
    Activité : Gestion de bases de données techniques
    Secteur : Agroalimentaire - Agriculture

    Informations forums :
    Inscription : avril 2002
    Messages : 5 813
    Points : 23 006
    Points
    23 006
    Par défaut
    Utilisez préférentiellement l'authentification SCRAM-SHA-256.
    Le mot de passe, vous pouvez effectivement le mettre dans un fichier .pgpass sur les serveurs qui accèdent à la base de données...

    ced
    Rédacteur / Modérateur SGBD et R
    Mes tutoriels et la FAQ MySQL

    ----------------------------------------------------
    Pensez aux balises code et au tag
    Une réponse vous a plu ? N'hésitez pas à y mettre un
    Je ne réponds pas aux questions techniques par message privé, les forums sont là pour ça

Discussions similaires

  1. Réponses: 24
    Dernier message: 12/07/2006, 12h11
  2. Session ouverte sans mot de passe
    Par BnA dans le forum Web
    Réponses: 4
    Dernier message: 09/05/2006, 12h04
  3. Réponses: 9
    Dernier message: 23/03/2006, 10h38
  4. [IB] Autoriser 1 user à changer son mot de passe
    Par qi130 dans le forum InterBase
    Réponses: 7
    Dernier message: 01/02/2005, 15h09
  5. [PostgresSQL]Pb accés des utilisateurs sans mot de passe
    Par woodwai dans le forum PostgreSQL
    Réponses: 2
    Dernier message: 22/05/2003, 17h06

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo