Re: [pgbr-geral] Limitar acesso de um user
Pessoal, Tenho um servidor PostgreSQL com vários databases. Alguns deles são disponibilizados através do PgBouncer pela porta 6544 para o pessoal do desenvolvimento, e outros deixamos apenas pela porta 5432... >>Como assim, alguns deles, alguns servidores? ou algumas databases? No mesmo ambiente trabalha produção e desenvolvimento? alguns databases... não é o mesmo server de produção não, tem ali algumas bases de desenv e outras de homologação, mas preciso controlar o acesso a alguns deles devido a uma terceirização de serviço feita pela empresa... enfim... Porém, se algum desenvolvedor tentar acessar a porta 5432, vai conseguir... Nestes bancos que não devem ser acessados pelos desenvolvedores, mesmo entrando pela porta 5432 o usuário deles não tem permissão para fazer nada, então já temos uma certa 'segurança', porém quero fazer melhor e bloquear o acesso de determinados usuários, deixando liberado para eles apenas pelo bouncer na 6544. >> são bases de dados ou bancos? Sobre o bloqueio por usuário, precisa descrever melhor como está a estrutura atual de comunicação. No pgbouncer possui apontamento para o arquivo pg_hba.conf do postgres? Como está realizando a autenticação entre pgbouncer -> postgres, quando uma conexão é criada via pgbouncer? Como está configurado o tipo de autenticação utilizada no postgres e pgbouncer? Tenho como fazer alguma configuração no pg_hba.conf para que ao receber uma tentativa de conexão do usuário X na porta 5432 que não seja pelo ip local (pgbouncer acessa pelo 127.0.0.1), o banco recuse a conexão? >> sim, só depende da forma que está trabalhando as conexões do pgbouncer -> postgres. Obrigado! O Flávio respondeu antes, vou mudar o pg_hba.conf conforme orientação dele... O gmail não tem mais a opção de Quote Selected Text[1] e fica bem ruim responder assim, se alguém tiver alguma solução seria bom enviar pro pessoal acho... [1] https://productforums.google.com/forum/#!topic/gmail/2VzFN09XHgs 2017-11-22 8:48 GMT-02:00 Daniel Luiz da Silva : > > > -- > *De: *"Crauss, Jacson" > *Para: *"Comunidade PostgreSQL Brasileira" org.br> > *Enviadas: *Quarta-feira, 22 de novembro de 2017 8:33:18 > *Assunto: *[pgbr-geral] Limitar acesso de um user > > > Pessoal, > > Tenho um servidor PostgreSQL com vários databases. Alguns deles são > disponibilizados através do PgBouncer pela porta 6544 para o pessoal do > desenvolvimento, e outros deixamos apenas pela porta 5432... > > >>Como assim, alguns deles, alguns servidores? ou algumas databases? No > mesmo ambiente trabalha produção e desenvolvimento? > > Porém, se algum desenvolvedor tentar acessar a porta 5432, vai > conseguir... > > Nestes bancos que não devem ser acessados pelos desenvolvedores, mesmo > entrando pela porta 5432 o usuário deles não tem permissão para fazer nada, > então já temos uma certa 'segurança', porém quero fazer melhor e bloquear o > acesso de determinados usuários, deixando liberado para eles apenas pelo > bouncer na 6544. > > >> são bases de dados ou bancos? Sobre o bloqueio por usuário, precisa > descrever melhor como está a estrutura atual de comunicação. No pgbouncer > possui apontamento para o arquivo pg_hba.conf do postgres? Como está > realizando a autenticação entre pgbouncer -> postgres, quando uma conexão é > criada via pgbouncer? Como está configurado o tipo de autenticação > utilizada no postgres e pgbouncer? > > Tenho como fazer alguma configuração no pg_hba.conf para que ao receber > uma tentativa de conexão do usuário X na porta 5432 que não seja pelo ip > local (pgbouncer acessa pelo 127.0.0.1), o banco recuse a conexão? > > >> sim, só depende da forma que está trabalhando as conexões do pgbouncer > -> postgres. > > (mandei esse email semana passada mas voltou... se estou enviando > repetido, desculpa) > > ___ > pgbr-geral mailing list > pgbr-geral@listas.postgresql.org.br > https://listas.postgresql.org.br/cgi-bin/mailman/listinfo/pgbr-geral > > -- > > Jacson, > > Coloquei as perguntas dentro do corpo do seu e-mail. > > Obrigado. > > ___ > pgbr-geral mailing list > pgbr-geral@listas.postgresql.org.br > https://listas.postgresql.org.br/cgi-bin/mailman/listinfo/pgbr-geral > ___ pgbr-geral mailing list pgbr-geral@listas.postgresql.org.br https://listas.postgresql.org.br/cgi-bin/mailman/listinfo/pgbr-geral
Re: [pgbr-geral] Limitar acesso de um user
De: "Crauss, Jacson" Para: "Comunidade PostgreSQL Brasileira" Enviadas: Quarta-feira, 22 de novembro de 2017 8:33:18 Assunto: [pgbr-geral] Limitar acesso de um user Pessoal, Tenho um servidor PostgreSQL com vários databases. Alguns deles são disponibilizados através do PgBouncer pela porta 6544 para o pessoal do desenvolvimento, e outros deixamos apenas pela porta 5432... >>Como assim, alguns deles, alguns servidores? ou algumas databases? No mesmo >>ambiente trabalha produção e desenvolvimento? Porém, se algum desenvolvedor tentar acessar a porta 5432, vai conseguir... Nestes bancos que não devem ser acessados pelos desenvolvedores, mesmo entrando pela porta 5432 o usuário deles não tem permissão para fazer nada, então já temos uma certa 'segurança', porém quero fazer melhor e bloquear o acesso de determinados usuários, deixando liberado para eles apenas pelo bouncer na 6544. >> são bases de dados ou bancos? Sobre o bloqueio por usuário, precisa >> descrever melhor como está a estrutura atual de comunicação. No pgbouncer >> possui apontamento para o arquivo pg_hba.conf do postgres? Como está >> realizando a autenticação entre pgbouncer -> postgres, quando uma conexão é >> criada via pgbouncer? Como está configurado o tipo de autenticação utilizada >> no postgres e pgbouncer? Tenho como fazer alguma configuração no pg_hba.conf para que ao receber uma tentativa de conexão do usuário X na porta 5432 que não seja pelo ip local (pgbouncer acessa pelo 127.0.0.1), o banco recuse a conexão? >> sim, só depende da forma que está trabalhando as conexões do pgbouncer -> >> postgres. (mandei esse email semana passada mas voltou... se estou enviando repetido, desculpa) ___ pgbr-geral mailing list pgbr-geral@listas.postgresql.org.br https://listas.postgresql.org.br/cgi-bin/mailman/listinfo/pgbr-geral -- Jacson, Coloquei as perguntas dentro do corpo do seu e-mail. Obrigado. ___ pgbr-geral mailing list pgbr-geral@listas.postgresql.org.br https://listas.postgresql.org.br/cgi-bin/mailman/listinfo/pgbr-geral
Re: [pgbr-geral] Limitar acesso de um user
Em qua, 22 de nov de 2017 às 11:33, Crauss, Jacson escreveu: > > Pessoal, > > Tenho um servidor PostgreSQL com vários databases. Alguns deles são > disponibilizados através do PgBouncer pela porta 6544 para o pessoal do > desenvolvimento, e outros deixamos apenas pela porta 5432... > > Porém, se algum desenvolvedor tentar acessar a porta 5432, vai > conseguir... > > Nestes bancos que não devem ser acessados pelos desenvolvedores, mesmo > entrando pela porta 5432 o usuário deles não tem permissão para fazer nada, > então já temos uma certa 'segurança', porém quero fazer melhor e bloquear o > acesso de determinados usuários, deixando liberado para eles apenas pelo > bouncer na 6544. > > Tenho como fazer alguma configuração no pg_hba.conf para que ao receber > uma tentativa de conexão do usuário X na porta 5432 que não seja pelo ip > local (pgbouncer acessa pelo 127.0.0.1), o banco recuse a conexão? > Sim. Você coloca no seu pg_hba.conf *nesta ordem* à partir da linha que autoriza o pgbouncer: host seu_banco seu_usuario_pgbouncer 127.0.0.1/32 md5 (ou troque o tipo de autenticação aqui dependendo do seu caso) host all all 0.0.0.0/0 reject Somente conexões vindas de 127.0.0.1 do usuário específico e no banco específico serão aceitas, todo o resto rejeitado. []s Flavio Gurgel ___ pgbr-geral mailing list pgbr-geral@listas.postgresql.org.br https://listas.postgresql.org.br/cgi-bin/mailman/listinfo/pgbr-geral
[pgbr-geral] Limitar acesso de um user
Pessoal, Tenho um servidor PostgreSQL com vários databases. Alguns deles são disponibilizados através do PgBouncer pela porta 6544 para o pessoal do desenvolvimento, e outros deixamos apenas pela porta 5432... Porém, se algum desenvolvedor tentar acessar a porta 5432, vai conseguir... Nestes bancos que não devem ser acessados pelos desenvolvedores, mesmo entrando pela porta 5432 o usuário deles não tem permissão para fazer nada, então já temos uma certa 'segurança', porém quero fazer melhor e bloquear o acesso de determinados usuários, deixando liberado para eles apenas pelo bouncer na 6544. Tenho como fazer alguma configuração no pg_hba.conf para que ao receber uma tentativa de conexão do usuário X na porta 5432 que não seja pelo ip local (pgbouncer acessa pelo 127.0.0.1), o banco recuse a conexão? (mandei esse email semana passada mas voltou... se estou enviando repetido, desculpa) ___ pgbr-geral mailing list pgbr-geral@listas.postgresql.org.br https://listas.postgresql.org.br/cgi-bin/mailman/listinfo/pgbr-geral