Discussion :

[benoit.decubber]

Bonjour,
Afin de sécuriser l'accès à ma BDD Postgres, je souhaite n'autoriser que 4 @IP dans le fichier pg_hba.conf.
Je ne souhaite pas utiliser les masques car le réseau serait trop important.

Comment faire ?

Une ligne par @ IP ou on peut mettre plusieurs @IP sur la même ligne ?

Mes 4 @IP de mes serveurs A.B.C.1 à 4 - par exemple

# TYPE DATABASE USER ADDRESS METHOD
local all postgres A.B.C.1/32 trust
local all postgres A.B.C.2/32 trust
local all postgres A.B.C.3/32 trust
local all postgres A.B.C.4/32 trust

Cette configuration, permetra-t-elle à mes 4 serveurs d'accéder à toutes mes BDD avec le compte postrgres sans utilisation de mot de passe ?

Merci par avance de vos réponses.

[ced]

Bonjour,

Pour le premier paramètre, il faut mettre "host" et pas "local". "local" intercepte uniquement les tentatives de connexion utilisant les sockets du domaine Unix du serveur...
Pour répondre à votre question, il vous faut mettre une ligne par adresse IP.

Enfin, je vous déconseille très fortement le "trust"... Qui plus est avec le compte "postgres", qui est superutilisateur. Là, vous prenez de très gros risques !

ced

[Boubou2020]

Configuration Null en terme sécurité

flux ouvert depuis multiserveur avec une compte super user sans password

[benoit.decubber]

Merci de vos réponses.

Je comprends que ce n'est pas secure, même si mes serveurs sont déjà sécurisés (les accès aux serveurs sont très restreints).

Si je voulais améliorer la sécurité, ce serait de passer en md5 au lieu de trust (voire scram-sha-256) ... mais pour cela, il faut que mon applicatif le permette (et là je n'ai pas la main dessus).

[Boubou2020]

Essayer de faire la configuration de .pgpass

[ced]

Utilisez préférentiellement l'authentification SCRAM-SHA-256.
Le mot de passe, vous pouvez effectivement le mettre dans un fichier .pgpass sur les serveurs qui accèdent à la base de données...

ced