date:20171122

[pgbr-geral] Limitar acesso de um user

2017-11-22 Por tôpico Crauss, Jacson

Pessoal,

Tenho um servidor PostgreSQL com vários databases. Alguns deles são
disponibilizados através do PgBouncer pela porta 6544 para o pessoal do
desenvolvimento, e outros deixamos apenas pela porta 5432...

Porém, se algum desenvolvedor tentar acessar a porta 5432, vai conseguir...

Nestes bancos que não devem ser acessados pelos desenvolvedores, mesmo
entrando pela porta 5432 o usuário deles não tem permissão para fazer nada,
então já temos uma certa 'segurança', porém quero fazer melhor e bloquear o
acesso de determinados usuários, deixando liberado para eles apenas pelo
bouncer na 6544.

Tenho como fazer alguma configuração no pg_hba.conf para que ao receber uma
tentativa de conexão do usuário X na porta 5432 que não seja pelo ip local
(pgbouncer acessa pelo 127.0.0.1), o banco recuse a conexão?

(mandei esse email semana passada mas voltou... se estou enviando repetido,
desculpa)
___
pgbr-geral mailing list
pgbr-geral@listas.postgresql.org.br
https://listas.postgresql.org.br/cgi-bin/mailman/listinfo/pgbr-geral

Re: [pgbr-geral] Limitar acesso de um user

2017-11-22 Por tôpico Flavio Henrique Araque Gurgel

Em qua, 22 de nov de 2017 às 11:33, Crauss, Jacson 
escreveu:

>
> Pessoal,
>
> Tenho um servidor PostgreSQL com vários databases. Alguns deles são
> disponibilizados através do PgBouncer pela porta 6544 para o pessoal do
> desenvolvimento, e outros deixamos apenas pela porta 5432...
>
> Porém, se algum desenvolvedor tentar acessar a porta 5432, vai
> conseguir...
>
> Nestes bancos que não devem ser acessados pelos desenvolvedores, mesmo
> entrando pela porta 5432 o usuário deles não tem permissão para fazer nada,
> então já temos uma certa 'segurança', porém quero fazer melhor e bloquear o
> acesso de determinados usuários, deixando liberado para eles apenas pelo
> bouncer na 6544.
>
> Tenho como fazer alguma configuração no pg_hba.conf para que ao receber
> uma tentativa de conexão do usuário X na porta 5432 que não seja pelo ip
> local (pgbouncer acessa pelo 127.0.0.1), o banco recuse a conexão?
>

Sim. Você coloca no seu pg_hba.conf *nesta ordem* à partir da linha que
autoriza o pgbouncer:
host seu_banco seu_usuario_pgbouncer 127.0.0.1/32 md5 (ou troque o tipo de
autenticação aqui dependendo do seu caso)
host all all 0.0.0.0/0 reject

Somente conexões vindas de 127.0.0.1 do usuário específico e no banco
específico serão aceitas, todo o resto rejeitado.

[]s
Flavio Gurgel
___
pgbr-geral mailing list
pgbr-geral@listas.postgresql.org.br
https://listas.postgresql.org.br/cgi-bin/mailman/listinfo/pgbr-geral

Re: [pgbr-geral] Limitar acesso de um user

2017-11-22 Por tôpico Crauss, Jacson

Pessoal,

Tenho um servidor PostgreSQL com vários databases. Alguns deles são
disponibilizados através do PgBouncer pela porta 6544 para o pessoal do
desenvolvimento, e outros deixamos apenas pela porta 5432...

>>Como assim, alguns deles, alguns servidores? ou algumas databases? No
mesmo ambiente trabalha produção e desenvolvimento?

 alguns databases... não é o mesmo server de produção não, tem ali
algumas bases de desenv e outras de homologação, mas preciso controlar o
acesso a alguns deles devido a uma terceirização de serviço feita pela
empresa... enfim...

Porém, se algum desenvolvedor tentar acessar a porta 5432, vai conseguir...

Nestes bancos que não devem ser acessados pelos desenvolvedores, mesmo
entrando pela porta 5432 o usuário deles não tem permissão para fazer nada,
então já temos uma certa 'segurança', porém quero fazer melhor e bloquear o
acesso de determinados usuários, deixando liberado para eles apenas pelo
bouncer na 6544.

>> são bases de dados ou bancos? Sobre o bloqueio por usuário, precisa
descrever melhor como está a estrutura atual de comunicação. No pgbouncer
possui apontamento para o arquivo pg_hba.conf do postgres? Como está
realizando a autenticação entre pgbouncer -> postgres, quando uma conexão é
criada via pgbouncer? Como está configurado o tipo de autenticação
utilizada no postgres e pgbouncer?

Tenho como fazer alguma configuração no pg_hba.conf para que ao receber uma
tentativa de conexão do usuário X na porta 5432 que não seja pelo ip local
(pgbouncer acessa pelo 127.0.0.1), o banco recuse a conexão?

>> sim, só depende da forma que está trabalhando as conexões do pgbouncer
-> postgres.

 Obrigado! O Flávio respondeu antes, vou mudar o pg_hba.conf conforme
orientação dele...

 O gmail não tem mais a opção de Quote Selected Text[1] e fica bem ruim
responder assim, se alguém tiver alguma solução seria bom enviar pro
pessoal acho...

[1] https://productforums.google.com/forum/#!topic/gmail/2VzFN09XHgs

2017-11-22 8:48 GMT-02:00 Daniel Luiz da Silva :

>
>
> --
> *De: *"Crauss, Jacson" 
> *Para: *"Comunidade PostgreSQL Brasileira"  org.br>
> *Enviadas: *Quarta-feira, 22 de novembro de 2017 8:33:18
> *Assunto: *[pgbr-geral] Limitar acesso de um user
>
>
> Pessoal,
>
> Tenho um servidor PostgreSQL com vários databases. Alguns deles são
> disponibilizados através do PgBouncer pela porta 6544 para o pessoal do
> desenvolvimento, e outros deixamos apenas pela porta 5432...
>
> >>Como assim, alguns deles, alguns servidores? ou algumas databases? No
> mesmo ambiente trabalha produção e desenvolvimento?
>
> Porém, se algum desenvolvedor tentar acessar a porta 5432, vai
> conseguir...
>
> Nestes bancos que não devem ser acessados pelos desenvolvedores, mesmo
> entrando pela porta 5432 o usuário deles não tem permissão para fazer nada,
> então já temos uma certa 'segurança', porém quero fazer melhor e bloquear o
> acesso de determinados usuários, deixando liberado para eles apenas pelo
> bouncer na 6544.
>
> >> são bases de dados ou bancos? Sobre o bloqueio por usuário, precisa
> descrever melhor como está a estrutura atual de comunicação. No pgbouncer
> possui apontamento para o arquivo pg_hba.conf do postgres? Como está
> realizando a autenticação entre pgbouncer -> postgres, quando uma conexão é
> criada via pgbouncer? Como está configurado o tipo de autenticação
> utilizada no postgres e pgbouncer?
>
> Tenho como fazer alguma configuração no pg_hba.conf para que ao receber
> uma tentativa de conexão do usuário X na porta 5432 que não seja pelo ip
> local (pgbouncer acessa pelo 127.0.0.1), o banco recuse a conexão?
>
> >> sim, só depende da forma que está trabalhando as conexões do pgbouncer
> -> postgres.
>
> (mandei esse email semana passada mas voltou... se estou enviando
> repetido, desculpa)
>
> ___
> pgbr-geral mailing list
> pgbr-geral@listas.postgresql.org.br
> https://listas.postgresql.org.br/cgi-bin/mailman/listinfo/pgbr-geral
>
> --
>
> Jacson,
>
> Coloquei as perguntas dentro do corpo do seu e-mail.
>
> Obrigado.
>
> ___
> pgbr-geral mailing list
> pgbr-geral@listas.postgresql.org.br
> https://listas.postgresql.org.br/cgi-bin/mailman/listinfo/pgbr-geral
>
___
pgbr-geral mailing list
pgbr-geral@listas.postgresql.org.br
https://listas.postgresql.org.br/cgi-bin/mailman/listinfo/pgbr-geral

Re: [pgbr-geral] Limitar acesso de um user

2017-11-22 Por tôpico Daniel Luiz da Silva




De: "Crauss, Jacson"  
Para: "Comunidade PostgreSQL Brasileira"  
Enviadas: Quarta-feira, 22 de novembro de 2017 8:33:18 
Assunto: [pgbr-geral] Limitar acesso de um user 


Pessoal, 

Tenho um servidor PostgreSQL com vários databases. Alguns deles são 
disponibilizados através do PgBouncer pela porta 6544 para o pessoal do 
desenvolvimento, e outros deixamos apenas pela porta 5432... 

>>Como assim, alguns deles, alguns servidores? ou algumas databases? No mesmo 
>>ambiente trabalha produção e desenvolvimento? 

Porém, se algum desenvolvedor tentar acessar a porta 5432, vai conseguir... 

Nestes bancos que não devem ser acessados pelos desenvolvedores, mesmo entrando 
pela porta 5432 o usuário deles não tem permissão para fazer nada, então já 
temos uma certa 'segurança', porém quero fazer melhor e bloquear o acesso de 
determinados usuários, deixando liberado para eles apenas pelo bouncer na 6544. 

>> são bases de dados ou bancos? Sobre o bloqueio por usuário, precisa 
>> descrever melhor como está a estrutura atual de comunicação. No pgbouncer 
>> possui apontamento para o arquivo pg_hba.conf do postgres? Como está 
>> realizando a autenticação entre pgbouncer -> postgres, quando uma conexão é 
>> criada via pgbouncer? Como está configurado o tipo de autenticação utilizada 
>> no postgres e pgbouncer? 

Tenho como fazer alguma configuração no pg_hba.conf para que ao receber uma 
tentativa de conexão do usuário X na porta 5432 que não seja pelo ip local 
(pgbouncer acessa pelo 127.0.0.1), o banco recuse a conexão? 

>> sim, só depende da forma que está trabalhando as conexões do pgbouncer -> 
>> postgres. 

(mandei esse email semana passada mas voltou... se estou enviando repetido, 
desculpa) 

___ 
pgbr-geral mailing list 
pgbr-geral@listas.postgresql.org.br 
https://listas.postgresql.org.br/cgi-bin/mailman/listinfo/pgbr-geral 

-- 

Jacson, 

Coloquei as perguntas dentro do corpo do seu e-mail. 

Obrigado. 
___
pgbr-geral mailing list
pgbr-geral@listas.postgresql.org.br
https://listas.postgresql.org.br/cgi-bin/mailman/listinfo/pgbr-geral

[pgbr-geral] Limitar acesso de um user

Re: [pgbr-geral] Limitar acesso de um user

Re: [pgbr-geral] Limitar acesso de um user

Re: [pgbr-geral] Limitar acesso de um user

4 matches

Site Navigation

Mail list logo

Footer information