Es sólo una idea, dentro de Windows instalar una VM de Ubuntu-server (hasta encriptarla), exponer el puerto 5432 y configurar pg_hba sólo acceso a la máquina anfitrión.
La VM la puedes programar que se inicie al reiniciar Windows, sólo tienes acceso al usuario root de ubuntu y no sería posible modificar la configuración de postgresql. Aunque eso no evita que puedan realizar copias de seguridad usando pg_dump desde la máquina anfitrión a menos que tu app sólo tenga la clave de acceso al servidor postgresql. [image: image.png] El jue, 4 jul 2024 a las 13:14, Javier Jimenez Matilla (< jjmati...@coviran.es>) escribió: > Disculpad, gracias al resto, no había leído las demás respuestas. Entiendo > que con este mensaje queda claro lo que intento hacer, sé que es complejo, > con otros sistemas de gestión no es complicado, incluso he pensado en > descargarme el código de Postgres, quitar trust e intentar descifrar con > BitLocker leer y volver a cifrar, pero escribía por si existen otras > alternativas, me encanta Postgres y entiendo que a alguien le habrá pasado > algo similar. > > Saludos > > ------------------------------ > *De:* Javier Jimenez Matilla <jjmati...@coviran.es> > *Enviado:* jueves, 4 de julio de 2024 18:00 > *Para:* Gabriel Guillem Barceló Soteras <gbarc...@parlamentib.es>; > Horacio Miranda <hmira...@gmail.com>; Mario González Troncoso < > gonzalema...@gmail.com> > *Cc:* pgsql-es-ay...@postgresql.org <pgsql-es-ay...@postgresql.org> > *Asunto:* RE: Windows pg_hba.conf editable > > Muchísimas gracias por la respuesta Gabriel. > > Necesito distribuir una aplicación en un servidor offline, este servidor > debe ser Windows por temas de drivers y otros programas, en esa aplicación > servidor necesito tener postgres instalado, pero claro, debido a que > comparto máquina con otros proveedores de software no puedo estar seguro de > que alguien pueda copiar datos y menos cambiar esta seguridad de conexión > con trust. > > Tenía pensado crear un disco con bitlocker donde almacenar la información > y darle acceso al servicio de postgres, pero me mata tener el pg_hba.conf > donde colocando trust acceden todos. > > Por tanto, entiendo que postgres está pensado para tenerlo en un servidor > aislado, pero preguntaba por si existe alguna solución para conseguir que > no se pueda consultar la información. > > Además de esto del acceso tengo pensado encriptar la información sensible > en la base de datos en sí. Pero como digo entiendo que no es posible esta > solución. > > Muchas gracias de nuevo. > > Un saludo > ------------------------------ > *De:* Gabriel Guillem Barceló Soteras <gbarc...@parlamentib.es> > *Enviado:* jueves, 4 de julio de 2024 17:49 > *Para:* Horacio Miranda <hmira...@gmail.com>; Mario González Troncoso < > gonzalema...@gmail.com>; Javier Jimenez Matilla <jjmati...@coviran.es> > *Cc:* pgsql-es-ay...@postgresql.org <pgsql-es-ay...@postgresql.org> > *Asunto:* Re: Windows pg_hba.conf editable > > Si no tienes control sobre la VM del servidor postgres (tu cliente > entiendo?) no podrás hacer mucho. Aunque consigas algo parecido a bloquear > hba.conf: Por poner un ejemplo, el propietario, o el Administrador puede > copiar la carpeta de los datos de tablas de postgres, y con otro servicio > postgres de la misma versión podrá leer estos datos. A parte que también > puede replicar tu version capada de postgres con otra 'normal' > > Si especificas un poco mejor lo que intentas conseguir, quizás alguien > pueda ayudarte mejor. > > Saludos, > Gabriel > > Sent from Outlook for Android <https://aka.ms/AAb9ysg> > ------------------------------ > *From:* Horacio Miranda <hmira...@gmail.com> > *Sent:* Thursday, July 4, 2024 3:54:59 PM > *To:* Mario González Troncoso <gonzalema...@gmail.com>; Javier Jimenez > Matilla <jjmati...@coviran.es> > *Cc:* pgsql-es-ay...@postgresql.org <pgsql-es-ay...@postgresql.org> > *Subject:* Re: Windows pg_hba.conf editable > > Osea si no tienes la maquina protegida con la cuenta de administrador en > tu control es muy poco lo que puedes hacer para proteger la base o el > pg_hba.conf > > La unica protección que me imagino que puedas hacer es que tu instalado > use otro usuario y cerrar ese usuario de alguna forma. > > si instalas un programa sentinel que haga un hash del archivo y detecte > cuando sea modificado y baje la base y pida soporte puede ser... pero es > algo rebuscado. > > On 5/07/2024 1:51 am, Mario González Troncoso wrote: > > On Thu, 4 Jul 2024 at 02:21, Javier Jimenez Matilla > > <jjmati...@coviran.es> wrote: > >> Hola que tal?, > >> > >> Existe alguna forma de quitar el pg_hba.conf o al menos que no se pueda > editar. Tengo problemas para hacer una versión distribuible a clientes para > Windows, necesito que no se pueda acceder al almacén de datos y con este > fichero no puedo garantizar la seguridad. ¿Conocéis alguna alternativa? > >> > > Ese archivo es un archivo mas que es parte de la instalación de tu DB > > y va a tener acceso por los usuarios de la misma forma que proteges > > otro archivo de otros usuarios. Tendrás que buscar algo específico de > > microsoft como "cerrarlo". > > > >> Gracias > >> > >> > >> > >> Javier Jiménez Matilla > >> Dirección IT, Corporativo y del PDV | Desarrollo y Nuevas tecnologías > >> jjmati...@coviran.es · +34 673 875 335 > >> Ctra. Nac. 432, km. 431 · 18230 Atarfe GRANADA > >> www.coviran.es · T +34 958 808 300 > >> > >> > >> No me imprimas si no es necesario. Protejamos el medio ambiente. > >> Aviso de confidencialidad: Este correo con sus documentos anexos es > privado y confidencial. Va dirigido exclusivamente a su destinatario. > Covirán informa a quien pueda haber recibido por error este correo, que > contiene información confidencial cuyo uso, copia, reproducción o > distribución está expresamente prohibido. Si no es Vd. el destinatario del > correo y lo recibe por error, le rogamos lo ponga en conocimiento del > emisor y lo elimine sin copiarlo, imprimirlo o utilizarlo de ningún modo. > > > > > > >
