Pessoal, Tenho um servidor PostgreSQL com vários databases. Alguns deles são disponibilizados através do PgBouncer pela porta 6544 para o pessoal do desenvolvimento, e outros deixamos apenas pela porta 5432...
>>Como assim, alguns deles, alguns servidores? ou algumas databases? No mesmo ambiente trabalha produção e desenvolvimento? >>>> alguns databases... não é o mesmo server de produção não, tem ali algumas bases de desenv e outras de homologação, mas preciso controlar o acesso a alguns deles devido a uma terceirização de serviço feita pela empresa... enfim... Porém, se algum desenvolvedor tentar acessar a porta 5432, vai conseguir... Nestes bancos que não devem ser acessados pelos desenvolvedores, mesmo entrando pela porta 5432 o usuário deles não tem permissão para fazer nada, então já temos uma certa 'segurança', porém quero fazer melhor e bloquear o acesso de determinados usuários, deixando liberado para eles apenas pelo bouncer na 6544. >> são bases de dados ou bancos? Sobre o bloqueio por usuário, precisa descrever melhor como está a estrutura atual de comunicação. No pgbouncer possui apontamento para o arquivo pg_hba.conf do postgres? Como está realizando a autenticação entre pgbouncer -> postgres, quando uma conexão é criada via pgbouncer? Como está configurado o tipo de autenticação utilizada no postgres e pgbouncer? Tenho como fazer alguma configuração no pg_hba.conf para que ao receber uma tentativa de conexão do usuário X na porta 5432 que não seja pelo ip local (pgbouncer acessa pelo 127.0.0.1), o banco recuse a conexão? >> sim, só depende da forma que está trabalhando as conexões do pgbouncer -> postgres. >>>> Obrigado! O Flávio respondeu antes, vou mudar o pg_hba.conf conforme orientação dele... >>>> O gmail não tem mais a opção de Quote Selected Text[1] e fica bem ruim responder assim, se alguém tiver alguma solução seria bom enviar pro pessoal acho... [1] https://productforums.google.com/forum/#!topic/gmail/2VzFN09XHgs 2017-11-22 8:48 GMT-02:00 Daniel Luiz da Silva <[email protected]>: > > > ------------------------------ > *De: *"Crauss, Jacson" <[email protected]> > *Para: *"Comunidade PostgreSQL Brasileira" <[email protected]. > org.br> > *Enviadas: *Quarta-feira, 22 de novembro de 2017 8:33:18 > *Assunto: *[pgbr-geral] Limitar acesso de um user > > > Pessoal, > > Tenho um servidor PostgreSQL com vários databases. Alguns deles são > disponibilizados através do PgBouncer pela porta 6544 para o pessoal do > desenvolvimento, e outros deixamos apenas pela porta 5432... > > >>Como assim, alguns deles, alguns servidores? ou algumas databases? No > mesmo ambiente trabalha produção e desenvolvimento? > > Porém, se algum desenvolvedor tentar acessar a porta 5432, vai > conseguir... > > Nestes bancos que não devem ser acessados pelos desenvolvedores, mesmo > entrando pela porta 5432 o usuário deles não tem permissão para fazer nada, > então já temos uma certa 'segurança', porém quero fazer melhor e bloquear o > acesso de determinados usuários, deixando liberado para eles apenas pelo > bouncer na 6544. > > >> são bases de dados ou bancos? Sobre o bloqueio por usuário, precisa > descrever melhor como está a estrutura atual de comunicação. No pgbouncer > possui apontamento para o arquivo pg_hba.conf do postgres? Como está > realizando a autenticação entre pgbouncer -> postgres, quando uma conexão é > criada via pgbouncer? Como está configurado o tipo de autenticação > utilizada no postgres e pgbouncer? > > Tenho como fazer alguma configuração no pg_hba.conf para que ao receber > uma tentativa de conexão do usuário X na porta 5432 que não seja pelo ip > local (pgbouncer acessa pelo 127.0.0.1), o banco recuse a conexão? > > >> sim, só depende da forma que está trabalhando as conexões do pgbouncer > -> postgres. > > (mandei esse email semana passada mas voltou... se estou enviando > repetido, desculpa) > > _______________________________________________ > pgbr-geral mailing list > [email protected] > https://listas.postgresql.org.br/cgi-bin/mailman/listinfo/pgbr-geral > > -- > > Jacson, > > Coloquei as perguntas dentro do corpo do seu e-mail. > > Obrigado. > > _______________________________________________ > pgbr-geral mailing list > [email protected] > https://listas.postgresql.org.br/cgi-bin/mailman/listinfo/pgbr-geral >
_______________________________________________ pgbr-geral mailing list [email protected] https://listas.postgresql.org.br/cgi-bin/mailman/listinfo/pgbr-geral
