Discussion :

[socorro]

Bonjour

Je suis en Linux RedHat4 ES.

1)Je me connecte au serveur en tant qu'utilisateur 'root'
2) je change d'utilisateur : su - exploit ==> pas de problème
3) je lance un script qui contient une commande su - postgres : les ennuis commencent
- le système me demande le mot de passe de postgres alors qu'il ne l'a pas demandé pour passer de 'root' en 'exploit'
- apparemment, le mot de passe de postgres n'est pas reconnu !!

Le problème est le même que si je fais connexion en 'root', su - exploit, puis une fois en exploit, su - postgres

En pièce jointe, le résultat des commandes.


Est-il interdit de faire une pile de su? Faut-il ajouter un paramètre lors de la création de postgres ou dans la commande su ? Je n'ai rien trouvé dans les Faq, dans les 'man'


Merci d'avance à celui - ou celle - qui pourra me débloquer

[jbarreau-mainson]

Salut,

Je me permet de revenir sur ce point :

1)Je me connecte au serveur en tant qu'utilisateur 'root'

D'après ton screen, c'est via putty, ca veut dire server à distance (?)
Désactive l'authentification en tant que root, c'est pas très sécurisé.

Sinon tu as essayé de te connecter directement en tant que postgres pour lancer ton script ?

[CedrX]

Moi je pense que c'est normal comme comportement.
Un utilisateur non privilégié (comme exploit) n'a le droit de devenir un autre utilisateur (notamment postgres ici) que s'il connaît son mot de passe (et ce même si au départ tu es passé de l'utilisateur privilégié root à l'utilisateur non privilégié exploit)

[Leeloo_Multiboot]

- le système me demande le mot de passe de postgres alors qu'il ne l'a pas demandé pour passer de 'root' en 'exploit'

C'est normal.
Lorsqu'on est root, on peut changer pour une session utilisateur sans rentrer le mot de passe (root est le tout puissant ).
Après tu es connecté sous l'utilisateur exploit, donc il est normal que pour te connecter sous le login d'un autre utilisateur tu doives rentrer son mot de passe.

Quelle est ta commande de création de l'utilisateur postgres?
Peux tu donner le contenu de ton script?

[thierry.chich]

Tout est dit par leeloo_Multiboot (ca s'écrit pas comme ça, lilo).

root # su - postgres ne demandera pas le mot de passe de postgres.

Sit tu as des besoins particulier de passer de exploit à postgres sans mot de passe, il faudra utiliser plutot sudo.

Soit dit en passant, mieux vaut ne pas créer de mot de passe à postgres, ce n'est pas une très bonne idée. Ca fera rapidement un nouveau compte à gérer, dont on doit vérifier que le mot de passe est suffisament solide. C'est bof.

[Leeloo_Multiboot]

Tout est dit par leeloo_Multiboot (ca s'écrit pas comme ça, lilo).

Justement c'est un mix de Lilo Multiboot et de Leeloo Multipass

[socorro]

Moi je pense que c'est normal comme comportement.
Un utilisateur non privilégié (comme exploit) n'a le droit de devenir un autre utilisateur (notamment postgres ici) que s'il connaît son mot de passe (et ce même si au départ tu es passé de l'utilisateur privilégié root à l'utilisateur non privilégié exploit)

J'ai créé moi-même le mot de passe de postgres, donc je le connais; le problème est qu'au 2me niveau de 'su' il me répond qu'il est faux

[socorro]

C'est normal.
Lorsqu'on est root, on peut changer pour une session utilisateur sans rentrer le mot de passe (root est le tout puissant ).
Après tu es connecté sous l'utilisateur exploit, donc il est normal que pour te connecter sous le login d'un autre utilisateur tu doives rentrer son mot de passe.

Quelle est ta commande de création de l'utilisateur postgres?
Peux tu donner le contenu de ton script?

la création de postgres est adduser -G exploit -p postgres postgres
Tout ceci pour comprendre et simuler le fonctionnement de OpenProcess!
Parce que sur le serveur de production, OpenProcess utilise l'utilisateur 'exploit'
qui n'est pas dans groupe root et fait appel à postgres dans les scripts par une commande 'su'

su - -c "psql -p 5432 -d base_un -c 'create index matricule_FK on sirh_agent (matricule);'" postgres

L'autre solution serait de créer un utilisateur qui aurait une partie des droits 'root' sans s'appeler 'root';mais je n'ai pas encore réussi !!!!!!

[socorro]

Salut,

Je me permet de revenir sur ce point :



D'après ton screen, c'est via putty, ca veut dire server à distance (?)
Désactive l'authentification en tant que root, c'est pas très sécurisé.

Sinon tu as essayé de te connecter directement en tant que postgres pour lancer ton script ?

Non, car je ne peux pas me connecter en tant que 'postgres', ni 'jboss' ou autre

[thierry.chich]

Il y a deux choses au moins :
1) dans une base de données comme postgres, on peut créer un utilisateur avec les droits qu'il faut. Une fois créé, on pourra créer un index avec un utilisateur toto, mot de passe toto, en spécifiant ça simplement dans la ligne de commande, sans su. C'est beaucoup plus propre, et surtout beaucoup plus sur

2) la commande pour acquérir à partir d'un compte x les droits de y (totalement, ou de manière limité à une ou deux commandes), c'est sudo.