2008/5/6, Mateus <[EMAIL PROTECTED]>: > Tenho a seguinte dúvida ? > > O pg_hba.conf não deveria ser criptografado ? > Se alguem tiver acesso a maquina onde o pg esta instalado e liberar > todos os ips qualquer pessoa poderia conectar ao pg.
Basta proteger o arquivo. Se você determinar que apenas um usuário específico pode alterar o pg_hba.conf, você não terá problemas. A única limitação é que o usuário postgres possa ler o pg_hba.conf . Em geral, os pacotes binários tem uma configuração padrão razoável. Claro que se você não tem um SO seguro... nada disso vai fazer sentido. Em geral, todo SGDB permite de alguma forma a pessoa que é administradora do servidor ter acesso total ao SGDB. O Oracle tem o 'conn / as sysdba', o mysql pode iniciar o banco sem autenticação, e por aí vai. Imagine que você demitiu o DBA e ele troca a senha do usuário postgres.... você TEM que ter um jeito de reverter a situação. O princípio é o de que tendo acesso físico ao servidor, você SEMPRE tem acesso total ao SO. No linux você pode usar o 'chroot' para entrar no SO e trocar a senha do administrador. Basta ter acesso físico. > > O pg_dump não deveria pedir uma senha para fazer o backup e essa senha > não deveria ser requisitada ao restaurar o backup ? > A senha vai ser solicitada de acordo com o usuário que você está utilizando para se conectar no SGDB e de acordo com as regras no pg_hba.conf. Lembre-se que o usuário que vai se conectar no banco está sugeito às limitações impostas pelos GRANTs que ele possui. Então, se você não está fazendo um dump com o usuário postgres, vai ler apenas os objetos em que tem acesso. Para restaurar, o mesmo ocorre. Se você não tem permissão para criar um objeto num determinado esquema, não vai poder restaurar o objeto lá. Assim, a política de GRANTs e REVOKEs é complementar a configuração do pg_hba.conf . Agora, se você quer uma segurança de alto nível... você pode se enveredar pelo SELinux... que está sendo integrado ao PostgreSQL. Não é simples, já lhe adianto. O SELinux é utilizado em ambientes muito críticos e é um investimento grande em segurança. Espero ter ajudado. Atenciosamente, Fábio Telles -- blog: http://www.midstorm.org/~telles/ e-mail / jabber: [EMAIL PROTECTED] _______________________________________________ pgbr-geral mailing list pgbr-geral@listas.postgresql.org.br https://listas.postgresql.org.br/cgi-bin/mailman/listinfo/pgbr-geral
