Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Administration PostgreSQL Discussion :

pg_hba.conf n'autoriser que quelques @IP sans mot de passe


Sujet :

Administration PostgreSQL

  1. #1
    Candidat au Club
    pg_hba.conf n'autoriser que quelques @IP sans mot de passe
    Bonjour,
    Afin de sécuriser l'accès à ma BDD Postgres, je souhaite n'autoriser que 4 @IP dans le fichier pg_hba.conf.
    Je ne souhaite pas utiliser les masques car le réseau serait trop important.

    Comment faire ?

    Une ligne par @ IP ou on peut mettre plusieurs @IP sur la même ligne ?

    Mes 4 @IP de mes serveurs A.B.C.1 à 4 - par exemple

    # TYPE DATABASE USER ADDRESS METHOD
    local all postgres A.B.C.1/32 trust
    local all postgres A.B.C.2/32 trust
    local all postgres A.B.C.3/32 trust
    local all postgres A.B.C.4/32 trust

    Cette configuration, permetra-t-elle à mes 4 serveurs d'accéder à toutes mes BDD avec le compte postrgres sans utilisation de mot de passe ?

    Merci par avance de vos réponses.

  2. #2
    Rédacteur/Modérateur

    Bonjour,

    Pour le premier paramètre, il faut mettre "host" et pas "local". "local" intercepte uniquement les tentatives de connexion utilisant les sockets du domaine Unix du serveur...
    Pour répondre à votre question, il vous faut mettre une ligne par adresse IP.

    Enfin, je vous déconseille très fortement le "trust"... Qui plus est avec le compte "postgres", qui est superutilisateur. Là, vous prenez de très gros risques !

    ced
    Rédacteur / Modérateur SGBD et R
    Mes tutoriels et la FAQ MySQL

    ----------------------------------------------------
    Pensez aux balises code et au tag
    Une réponse vous a plu ? N'hésitez pas à y mettre un
    Je ne réponds pas aux questions techniques par message privé, les forums sont là pour ça

  3. #3
    Membre éprouvé
    Configuration Null en terme sécurité

    flux ouvert depuis multiserveur avec une compte super user sans password

  4. #4
    Candidat au Club
    Merci de vos réponses.

    Je comprends que ce n'est pas secure, même si mes serveurs sont déjà sécurisés (les accès aux serveurs sont très restreints).

    Si je voulais améliorer la sécurité, ce serait de passer en md5 au lieu de trust (voire scram-sha-256) ... mais pour cela, il faut que mon applicatif le permette (et là je n'ai pas la main dessus).

  5. #5
    Membre éprouvé
    Essayer de faire la configuration de .pgpass

  6. #6
    Rédacteur/Modérateur

    Utilisez préférentiellement l'authentification SCRAM-SHA-256.
    Le mot de passe, vous pouvez effectivement le mettre dans un fichier .pgpass sur les serveurs qui accèdent à la base de données...

    ced
    Rédacteur / Modérateur SGBD et R
    Mes tutoriels et la FAQ MySQL

    ----------------------------------------------------
    Pensez aux balises code et au tag
    Une réponse vous a plu ? N'hésitez pas à y mettre un
    Je ne réponds pas aux questions techniques par message privé, les forums sont là pour ça

###raw>template_hook.ano_emploi###