Em 20 de abril de 2017 13:25, Pedro B. Alves <[email protected]> escreveu:
> >> >> O firewall não é o problema aqui. >> >> Se a porta do banco de dados está aberta para a internet por algum >> requisito de negócio (conexões de outros sistemas/clientes/etc) o firewall >> teria que liberar a porta de qualquer maneira. Caso não haja esta >> necessidade de estar aberta para a internet, então neste caso sim, o >> firewall deveria bloquear este acesso. >> >> De qualquer forma, o principal ponto aqui é: >> >> 1. o pg_hba não pode estar como trust para qualquer ip >> 2. é necessário sempre ter uma política de backup madura (backup + >> armazenamento do backup fora do servidor + testes de restore do backup para >> validar o mesmo) >> >> Isto porque o atacante apenas aproveitou uma brecha de configuração >> (pessoas com bancos de dados na porta padrão, expostas na internet e sem >> requisitos de senha), ou seja, não foi um ataque sofisticado do ponto de >> vista do banco de dados. >> > > > o banco de dados possuía senha. não temos nenhum banco sem senha. > > Aqui que esta o problema (Falsa sensação de segurança).... Você pode colocar uma senha de 24 caracteres alfanuméricas com símbolos especiais sem repetir nenhum carácter e achar que esta tudo "OK". Mas se em seu arquivo *pg_hba.conf* estiver com o parâmetro *Trust*, ai já era... Qualquer senha é aceita no banco de dados. # TYPE DATABASE USER ADDRESS METHOD # IPv4 local connections: host all all 127.0.0.1/0 *trust (Deveria estar MD5)* > > > _______________________________________________ > pgbr-geral mailing list > [email protected] > https://listas.postgresql.org.br/cgi-bin/mailman/listinfo/pgbr-geral > -- *Lembre-se de que ao evitar o desperdício, além de economizar dinheiro com papel e tinta, você também ajuda o nosso planeta. Bom para seu bolso, melhor para o mundo!*
_______________________________________________ pgbr-geral mailing list [email protected] https://listas.postgresql.org.br/cgi-bin/mailman/listinfo/pgbr-geral
