Hallo, On 06/20/11 18:23, Manuel Reimer wrote:
Zumindest bei mir leuchten dann alle Warnleuchten auf. So wird das auf einem von mir verwalteten Linux-System ganz sicher nicht in Betrieb gehen.
Auf einem System ohne Firewall (d.h. jeder offene TCP-Port ist von aussen auch wirklich erreichbar) oder mit fremden bzw. nicht vertrauenswuerdigen Benutzern magst Du recht haben. Allerdings ist das ja heutzutage doch eher die Ausnahme.
Der Datenbank-Systemuser ist, das sollte hinzugefuegt werden, aus Unix-Sicht auch kein privilegierter Account, d.h. wer auf die Postgres draufkommt, der kann Datenbanken anlegen und loeschen, aber das wars. Besonders viel Geheimnisse wird er nicht ausspionieren koennen aus der OSM-Datenbank.
(Die Wiki-Anleitung erlaubt uebrigens nur *dann* jedem das Einloggen als Postgres-User, wenn davor *keine* Extra-Zeile der Form "local postgres all ident" oder "local postgres all sameuser" ist, denn die erste passende Zeile "gewinnt" im pg_hba.conf.)
Genau das habe ich letztlich befürchtet: Um den Kram sicher in Betrieb zu bekommen, muss ich mich jetzt letztlich in jedes der Programme einarbeiten um zumindest grundlegend verstehen zu können *was* ich da eigentlich konfiguriere.
Was ist denn Dein Bedrohungsszenario, gegen das Du "sicher" sein willst?
pg_hba.conf: local all all ident map=default pg_ident.conf: default meinusername gisuser default postgres postgres Ich hoffe ich erreiche damit, was ich erreichen will.
Ja, aber da haettest Du dann auch gleich die Datenbank unter "meinusername" in der Postgres anlegen koennen und auf den "gisuser" und die pg_ident.conf ganz verzichten.
Bye Frederik _______________________________________________ Talk-de mailing list Talk-de@openstreetmap.org http://lists.openstreetmap.org/listinfo/talk-de