Re: [pgbr-geral] Limitar acesso de um user
Pessoal, Tenho um servidor PostgreSQL com vários databases. Alguns deles são disponibilizados através do PgBouncer pela porta 6544 para o pessoal do desenvolvimento, e outros deixamos apenas pela porta 5432... >>Como assim, alguns deles, alguns servidores? ou algumas databases? No mesmo ambiente trabalha produção e desenvolvimento? >>>> alguns databases... não é o mesmo server de produção não, tem ali algumas bases de desenv e outras de homologação, mas preciso controlar o acesso a alguns deles devido a uma terceirização de serviço feita pela empresa... enfim... Porém, se algum desenvolvedor tentar acessar a porta 5432, vai conseguir... Nestes bancos que não devem ser acessados pelos desenvolvedores, mesmo entrando pela porta 5432 o usuário deles não tem permissão para fazer nada, então já temos uma certa 'segurança', porém quero fazer melhor e bloquear o acesso de determinados usuários, deixando liberado para eles apenas pelo bouncer na 6544. >> são bases de dados ou bancos? Sobre o bloqueio por usuário, precisa descrever melhor como está a estrutura atual de comunicação. No pgbouncer possui apontamento para o arquivo pg_hba.conf do postgres? Como está realizando a autenticação entre pgbouncer -> postgres, quando uma conexão é criada via pgbouncer? Como está configurado o tipo de autenticação utilizada no postgres e pgbouncer? Tenho como fazer alguma configuração no pg_hba.conf para que ao receber uma tentativa de conexão do usuário X na porta 5432 que não seja pelo ip local (pgbouncer acessa pelo 127.0.0.1), o banco recuse a conexão? >> sim, só depende da forma que está trabalhando as conexões do pgbouncer -> postgres. >>>> Obrigado! O Flávio respondeu antes, vou mudar o pg_hba.conf conforme orientação dele... >>>> O gmail não tem mais a opção de Quote Selected Text[1] e fica bem ruim responder assim, se alguém tiver alguma solução seria bom enviar pro pessoal acho... [1] https://productforums.google.com/forum/#!topic/gmail/2VzFN09XHgs 2017-11-22 8:48 GMT-02:00 Daniel Luiz da Silva <daniel.si...@ipm.com.br>: > > > -- > *De: *"Crauss, Jacson" <cra...@gmail.com> > *Para: *"Comunidade PostgreSQL Brasileira" <pgbr-geral@listas.postgresql. > org.br> > *Enviadas: *Quarta-feira, 22 de novembro de 2017 8:33:18 > *Assunto: *[pgbr-geral] Limitar acesso de um user > > > Pessoal, > > Tenho um servidor PostgreSQL com vários databases. Alguns deles são > disponibilizados através do PgBouncer pela porta 6544 para o pessoal do > desenvolvimento, e outros deixamos apenas pela porta 5432... > > >>Como assim, alguns deles, alguns servidores? ou algumas databases? No > mesmo ambiente trabalha produção e desenvolvimento? > > Porém, se algum desenvolvedor tentar acessar a porta 5432, vai > conseguir... > > Nestes bancos que não devem ser acessados pelos desenvolvedores, mesmo > entrando pela porta 5432 o usuário deles não tem permissão para fazer nada, > então já temos uma certa 'segurança', porém quero fazer melhor e bloquear o > acesso de determinados usuários, deixando liberado para eles apenas pelo > bouncer na 6544. > > >> são bases de dados ou bancos? Sobre o bloqueio por usuário, precisa > descrever melhor como está a estrutura atual de comunicação. No pgbouncer > possui apontamento para o arquivo pg_hba.conf do postgres? Como está > realizando a autenticação entre pgbouncer -> postgres, quando uma conexão é > criada via pgbouncer? Como está configurado o tipo de autenticação > utilizada no postgres e pgbouncer? > > Tenho como fazer alguma configuração no pg_hba.conf para que ao receber > uma tentativa de conexão do usuário X na porta 5432 que não seja pelo ip > local (pgbouncer acessa pelo 127.0.0.1), o banco recuse a conexão? > > >> sim, só depende da forma que está trabalhando as conexões do pgbouncer > -> postgres. > > (mandei esse email semana passada mas voltou... se estou enviando > repetido, desculpa) > > ___ > pgbr-geral mailing list > pgbr-geral@listas.postgresql.org.br > https://listas.postgresql.org.br/cgi-bin/mailman/listinfo/pgbr-geral > > -- > > Jacson, > > Coloquei as perguntas dentro do corpo do seu e-mail. > > Obrigado. > > ___ > pgbr-geral mailing list > pgbr-geral@listas.postgresql.org.br > https://listas.postgresql.org.br/cgi-bin/mailman/listinfo/pgbr-geral > ___ pgbr-geral mailing list pgbr-geral@listas.postgresql.org.br https://listas.postgresql.org.br/cgi-bin/mailman/listinfo/pgbr-geral
Re: [pgbr-geral] Limitar acesso de um user
De: "Crauss, Jacson" <cra...@gmail.com> Para: "Comunidade PostgreSQL Brasileira" <pgbr-geral@listas.postgresql.org.br> Enviadas: Quarta-feira, 22 de novembro de 2017 8:33:18 Assunto: [pgbr-geral] Limitar acesso de um user Pessoal, Tenho um servidor PostgreSQL com vários databases. Alguns deles são disponibilizados através do PgBouncer pela porta 6544 para o pessoal do desenvolvimento, e outros deixamos apenas pela porta 5432... >>Como assim, alguns deles, alguns servidores? ou algumas databases? No mesmo >>ambiente trabalha produção e desenvolvimento? Porém, se algum desenvolvedor tentar acessar a porta 5432, vai conseguir... Nestes bancos que não devem ser acessados pelos desenvolvedores, mesmo entrando pela porta 5432 o usuário deles não tem permissão para fazer nada, então já temos uma certa 'segurança', porém quero fazer melhor e bloquear o acesso de determinados usuários, deixando liberado para eles apenas pelo bouncer na 6544. >> são bases de dados ou bancos? Sobre o bloqueio por usuário, precisa >> descrever melhor como está a estrutura atual de comunicação. No pgbouncer >> possui apontamento para o arquivo pg_hba.conf do postgres? Como está >> realizando a autenticação entre pgbouncer -> postgres, quando uma conexão é >> criada via pgbouncer? Como está configurado o tipo de autenticação utilizada >> no postgres e pgbouncer? Tenho como fazer alguma configuração no pg_hba.conf para que ao receber uma tentativa de conexão do usuário X na porta 5432 que não seja pelo ip local (pgbouncer acessa pelo 127.0.0.1), o banco recuse a conexão? >> sim, só depende da forma que está trabalhando as conexões do pgbouncer -> >> postgres. (mandei esse email semana passada mas voltou... se estou enviando repetido, desculpa) ___ pgbr-geral mailing list pgbr-geral@listas.postgresql.org.br https://listas.postgresql.org.br/cgi-bin/mailman/listinfo/pgbr-geral -- Jacson, Coloquei as perguntas dentro do corpo do seu e-mail. Obrigado. ___ pgbr-geral mailing list pgbr-geral@listas.postgresql.org.br https://listas.postgresql.org.br/cgi-bin/mailman/listinfo/pgbr-geral
Re: [pgbr-geral] Limitar acesso de um user
Em qua, 22 de nov de 2017 às 11:33, Crauss, Jacsonescreveu: > > Pessoal, > > Tenho um servidor PostgreSQL com vários databases. Alguns deles são > disponibilizados através do PgBouncer pela porta 6544 para o pessoal do > desenvolvimento, e outros deixamos apenas pela porta 5432... > > Porém, se algum desenvolvedor tentar acessar a porta 5432, vai > conseguir... > > Nestes bancos que não devem ser acessados pelos desenvolvedores, mesmo > entrando pela porta 5432 o usuário deles não tem permissão para fazer nada, > então já temos uma certa 'segurança', porém quero fazer melhor e bloquear o > acesso de determinados usuários, deixando liberado para eles apenas pelo > bouncer na 6544. > > Tenho como fazer alguma configuração no pg_hba.conf para que ao receber > uma tentativa de conexão do usuário X na porta 5432 que não seja pelo ip > local (pgbouncer acessa pelo 127.0.0.1), o banco recuse a conexão? > Sim. Você coloca no seu pg_hba.conf *nesta ordem* à partir da linha que autoriza o pgbouncer: host seu_banco seu_usuario_pgbouncer 127.0.0.1/32 md5 (ou troque o tipo de autenticação aqui dependendo do seu caso) host all all 0.0.0.0/0 reject Somente conexões vindas de 127.0.0.1 do usuário específico e no banco específico serão aceitas, todo o resto rejeitado. []s Flavio Gurgel ___ pgbr-geral mailing list pgbr-geral@listas.postgresql.org.br https://listas.postgresql.org.br/cgi-bin/mailman/listinfo/pgbr-geral
[pgbr-geral] Limitar acesso de um user
Pessoal, Tenho um servidor PostgreSQL com vários databases. Alguns deles são disponibilizados através do PgBouncer pela porta 6544 para o pessoal do desenvolvimento, e outros deixamos apenas pela porta 5432... Porém, se algum desenvolvedor tentar acessar a porta 5432, vai conseguir... Nestes bancos que não devem ser acessados pelos desenvolvedores, mesmo entrando pela porta 5432 o usuário deles não tem permissão para fazer nada, então já temos uma certa 'segurança', porém quero fazer melhor e bloquear o acesso de determinados usuários, deixando liberado para eles apenas pelo bouncer na 6544. Tenho como fazer alguma configuração no pg_hba.conf para que ao receber uma tentativa de conexão do usuário X na porta 5432 que não seja pelo ip local (pgbouncer acessa pelo 127.0.0.1), o banco recuse a conexão? (mandei esse email semana passada mas voltou... se estou enviando repetido, desculpa) ___ pgbr-geral mailing list pgbr-geral@listas.postgresql.org.br https://listas.postgresql.org.br/cgi-bin/mailman/listinfo/pgbr-geral
[pgbr-geral] Limitar acesso a BD em ambiente local
Pessoal O meu Problema é que tenho 10 usuarios e cada um tem um banco de dados, quero que cada usuário enxergue somente o seu banco. Outro problema, é que os usuários acessam o banco via ferramenta WEB SQL phpPgAdmin instalada no mesmo servidor do SGBD, ou seja, quando um usuario, solicita uma consulta na ferramenta, na verdade esse acesso está sendo local, pois o servidor Web está junto ao SGBD. Tentei fazer a seguinte configuração no arquivo PG_HBA.CONF, mas sem sucesso. Não deixou nem me logar. # local is for Unix domain socket connections only local bd_usuario1 usuario1127.0.0.1/32 md5 local bd_usuario2 usuario2127.0.0.1/32 md5 local bd_usuario3 usuario3127.0.0.1/32 md5 Somente posso fazer a restrição 1 usuario 1 banco, pelo arquivo pg_hba.conf ? Wiliam ___ pgbr-geral mailing list pgbr-geral@listas.postgresql.org.br https://listas.postgresql.org.br/cgi-bin/mailman/listinfo/pgbr-geral
Re: [pgbr-geral] Limitar acesso a BD em ambiente local
2013/5/3 Wiliam Balan wiliamba...@gmail.com Pessoal O meu Problema é que tenho 10 usuarios e cada um tem um banco de dados, quero que cada usuário enxergue somente o seu banco. Você não consegue limitar que um usuário veja os bancos que existem, mas sim que eles se conectem ao mesmo... (não sei se foi o que quis dizer) Outro problema, é que os usuários acessam o banco via ferramenta WEB SQL phpPgAdmin instalada no mesmo servidor do SGBD, ou seja, quando um usuario, solicita uma consulta na ferramenta, na verdade esse acesso está sendo local, pois o servidor Web está junto ao SGBD. Tentei fazer a seguinte configuração no arquivo PG_HBA.CONF, mas sem sucesso. Não deixou nem me logar. # local is for Unix domain socket connections only local bd_usuario1 usuario1127.0.0.1/32 md5 local bd_usuario2 usuario2127.0.0.1/32 md5 local bd_usuario3 usuario3127.0.0.1/32 md5 A ideia está correta, mas a sintaxe não. A diretiva local refere-se à conexão via Unix domain socket (aqueles arquivos .s.PGSQL.porta que ficam no /tmp/ ou /var/run...), portanto não faz sentido colocar endereço de IP, ou seja, basta retirar a 4ª coluna: # local is for Unix domain socket connections only local bd_usuario1 usuario1md5 local bd_usuario2 usuario2md5 local bd_usuario3 usuario3md5 Veja que dependendo da forma como a aplicação é configurada, ela conecta-se via TCP e não Unix domain socket, nesse caso é necessário usar host ao invés de local e adicionar o IP local (como você tinha feito). O ideal nesse caso é configurar a aplicação para não usar via TCP. Somente posso fazer a restrição 1 usuario 1 banco, pelo arquivo pg_hba.conf ? Não, é livre... Inclusive pode colocar na mesma linha, colocando vários bancos ou vários usuários separados por vírgula. Atenciosamente, -- Matheus de Oliveira Analista de Banco de Dados Dextra Sistemas - MPS.Br nível F! www.dextra.com.br/postgres ___ pgbr-geral mailing list pgbr-geral@listas.postgresql.org.br https://listas.postgresql.org.br/cgi-bin/mailman/listinfo/pgbr-geral
Re: [pgbr-geral] Limitar acesso a BD em ambiente local
On 03-05-2013 12:17, Wiliam Balan wrote: Mas se alguem utilizar o PGADMIN3 irá enxergar os outros banco, e nomes de tabelas, mesmo que nao consiga alterar, a politica aqui, é nem saber que existe outros bancos. Isso eu já havia comentado... a única maneira de fazer isso é criar uma instância (aka cluster) para cada usuário. Tentei fazer assim no arquivo pg_hba.conf , mas nao funcionou. Provavelmente não funcionou porque: (a) há alguma outra regra no pg_hba.conf antes destas que é satisfeita (quando uma regra é satisfeita ele ignora as outras abaixo); (b) você esqueceu de executar um reload. Tem como restringir os usuarios acessarem outros bancos que nao sejam Owner destes, via comando SQL? Não. Como eu já havia dito, qualquer usuário conectado pode fazer consultas no catálogo tentativas para proibir isso podem ser difíceis ou mesmo desastrosas. -- Euler Taveira de Oliveira - Timbira http://www.timbira.com.br/ PostgreSQL: Consultoria, Desenvolvimento, Suporte 24x7 e Treinamento ___ pgbr-geral mailing list pgbr-geral@listas.postgresql.org.br https://listas.postgresql.org.br/cgi-bin/mailman/listinfo/pgbr-geral
Re: [pgbr-geral] Limitar acesso a BD em ambiente local
2013/5/3 Euler Taveira eu...@timbira.com.br On 03-05-2013 12:17, Wiliam Balan wrote: Mas se alguem utilizar o PGADMIN3 irá enxergar os outros banco, e nomes de tabelas, mesmo que nao consiga alterar, a politica aqui, é nem saber que existe outros bancos. Isso eu já havia comentado... a única maneira de fazer isso é criar uma instância (aka cluster) para cada usuário. [...] Até tem como limitar sim a visualização de outros objetos globais fazendo alguns 'revokes' em tabelas do catálogo [1], mas isso não é bom pq vc acaba quebrando essas ferramentas de administração (pgadmin, phppgadmin, psql, etc) pois elas fezem muitas consultas ao catálogo. Mas o psql é o menos prejudicado, apesar de algumas coisas não funcionarem como: \l, \db, \du, etc... [1] http://wiki.postgresql.org/wiki/Shared_Database_Hosting -- Fabrízio de Royes Mello Consultoria/Coaching PostgreSQL Blog sobre TI: http://fabriziomello.blogspot.com Perfil Linkedin: http://br.linkedin.com/in/fabriziomello Twitter: http://twitter.com/fabriziomello ___ pgbr-geral mailing list pgbr-geral@listas.postgresql.org.br https://listas.postgresql.org.br/cgi-bin/mailman/listinfo/pgbr-geral
[pgbr-geral] Limitar acesso
Pessoal, tenho alguns servidores Postgres que tem mais de uma base rodando no mesmo. Em alguns momentos preciso fazer manutenção em determinadas bases e gostaria de poder colocá-las em single mode. Como posso fazer? Até agora só vejo a possibilidade de colocar todo o SGBD em single mode. Existe outra forma? Bruno E. A. Silva. Analista de Sistemas. ___ pgbr-geral mailing list pgbr-geral@listas.postgresql.org.br https://listas.postgresql.org.br/cgi-bin/mailman/listinfo/pgbr-geral
Re: [pgbr-geral] Limitar acesso
Cada base não possui um usuário específico? Não seria apenas restringir por usuário? *Att.* Diego M. Agudo Analista desenvolvedor -- ** http://www.digimaster.srv.br/ R. José Bonifácio, 1030 - Jd. Cristo Rei - CEP 17513-230 - Marília/SP Telefone: (14) 3301-8846 / (11) 5595-9500 #9651 Esta mensagem da DIGIMASTER SERVIÇOS E TECNOLOGIA LTDA, empresa privada, é enviada exclusivamente a seu destinatário e pode conter informações confidenciais, protegidas por sigilo profissional. Sua utilização desautorizada é ilegal e sujeita o infrator às penas da lei. Se você a recebeu indevidamente, queira, por gentileza, reenviá-la ao emitente, esclarecendo o equívoco. Em 7 de outubro de 2011 10:09, Bruno Silva bemanuel...@gmail.com escreveu: Pessoal, tenho alguns servidores Postgres que tem mais de uma base rodando no mesmo. Em alguns momentos preciso fazer manutenção em determinadas bases e gostaria de poder colocá-las em single mode. Como posso fazer? Até agora só vejo a possibilidade de colocar todo o SGBD em single mode. Existe outra forma? Bruno E. A. Silva. Analista de Sistemas. ___ pgbr-geral mailing list pgbr-geral@listas.postgresql.org.br https://listas.postgresql.org.br/cgi-bin/mailman/listinfo/pgbr-geral ___ pgbr-geral mailing list pgbr-geral@listas.postgresql.org.br https://listas.postgresql.org.br/cgi-bin/mailman/listinfo/pgbr-geral
Re: [pgbr-geral] Limitar acesso
Em 7 de outubro de 2011 10:09, Bruno Silva bemanuel...@gmail.com escreveu: Pessoal, tenho alguns servidores Postgres que tem mais de uma base rodando no mesmo. Em alguns momentos preciso fazer manutenção em determinadas bases e gostaria de poder colocá-las em single mode. Como posso fazer? Até agora só vejo a possibilidade de colocar todo o SGBD em single mode. Existe outra forma? Pelo pg_hba.conf [1] vc consegue fazer isso: [1] http://www.postgresql.org/docs/current/interactive/auth-pg-hba-conf.html -- Fabrízio de Royes Mello Consultoria/Coaching PostgreSQL Blog sobre TI: http://fabriziomello.blogspot.com Perfil Linkedin: http://br.linkedin.com/in/fabriziomello Twitter: http://twitter.com/fabriziomello ___ pgbr-geral mailing list pgbr-geral@listas.postgresql.org.br https://listas.postgresql.org.br/cgi-bin/mailman/listinfo/pgbr-geral
Re: [pgbr-geral] Limitar acesso
No caso estou sem acesso ao SO. E no 8.0 já tentei colocar o usuário em NOLOGIN e não funciona. Bruno E. A. Silva. Analista de Sistemas. Bacharel em Sistemas de Informação Pós-graduando em Gerência de Projetos Mestrando em Ciências da Computação Certified Scrum Master LPIC-1 SCJP, SE 6 Novell CLA / DCTS ECR DBA Postgres --- “A caixa dizia: Requer MS Windows ou superior. Então instalei Linux.” - Sábio Desconhecido Alguns prestam serviço/consultoria de Qualidade, os outros vendem licença! 2011/10/7 Fabrízio de Royes Mello fabriziome...@gmail.com Em 7 de outubro de 2011 10:09, Bruno Silva bemanuel...@gmail.comescreveu: Pessoal, tenho alguns servidores Postgres que tem mais de uma base rodando no mesmo. Em alguns momentos preciso fazer manutenção em determinadas bases e gostaria de poder colocá-las em single mode. Como posso fazer? Até agora só vejo a possibilidade de colocar todo o SGBD em single mode. Existe outra forma? Pelo pg_hba.conf [1] vc consegue fazer isso: [1] http://www.postgresql.org/docs/current/interactive/auth-pg-hba-conf.html -- Fabrízio de Royes Mello Consultoria/Coaching PostgreSQL Blog sobre TI: http://fabriziomello.blogspot.com Perfil Linkedin: http://br.linkedin.com/in/fabriziomello Twitter: http://twitter.com/fabriziomello ___ pgbr-geral mailing list pgbr-geral@listas.postgresql.org.br https://listas.postgresql.org.br/cgi-bin/mailman/listinfo/pgbr-geral ___ pgbr-geral mailing list pgbr-geral@listas.postgresql.org.br https://listas.postgresql.org.br/cgi-bin/mailman/listinfo/pgbr-geral
Re: [pgbr-geral] Limitar acesso
Já tentou colocar a validade de acesso para o dia anterior? ALTER ROLE user VALID UNTIL 'October 6, 2011 0:0:0'; *Att.* Diego M. Agudo Analista desenvolvedor -- ** http://www.digimaster.srv.br/ R. José Bonifácio, 1030 - Jd. Cristo Rei - CEP 17513-230 - Marília/SP Telefone: (14) 3301-8846 / (11) 5595-9500 #9651 Esta mensagem da DIGIMASTER SERVIÇOS E TECNOLOGIA LTDA, empresa privada, é enviada exclusivamente a seu destinatário e pode conter informações confidenciais, protegidas por sigilo profissional. Sua utilização desautorizada é ilegal e sujeita o infrator às penas da lei. Se você a recebeu indevidamente, queira, por gentileza, reenviá-la ao emitente, esclarecendo o equívoco. Em 7 de outubro de 2011 10:49, Bruno Silva bemanuel...@gmail.com escreveu: No caso estou sem acesso ao SO. E no 8.0 já tentei colocar o usuário em NOLOGIN e não funciona. Bruno E. A. Silva. Analista de Sistemas. Bacharel em Sistemas de Informação Pós-graduando em Gerência de Projetos Mestrando em Ciências da Computação Certified Scrum Master LPIC-1 SCJP, SE 6 Novell CLA / DCTS ECR DBA Postgres --- “A caixa dizia: Requer MS Windows ou superior. Então instalei Linux.” - Sábio Desconhecido Alguns prestam serviço/consultoria de Qualidade, os outros vendem licença! 2011/10/7 Fabrízio de Royes Mello fabriziome...@gmail.com Em 7 de outubro de 2011 10:09, Bruno Silva bemanuel...@gmail.comescreveu: Pessoal, tenho alguns servidores Postgres que tem mais de uma base rodando no mesmo. Em alguns momentos preciso fazer manutenção em determinadas bases e gostaria de poder colocá-las em single mode. Como posso fazer? Até agora só vejo a possibilidade de colocar todo o SGBD em single mode. Existe outra forma? Pelo pg_hba.conf [1] vc consegue fazer isso: [1] http://www.postgresql.org/docs/current/interactive/auth-pg-hba-conf.html -- Fabrízio de Royes Mello Consultoria/Coaching PostgreSQL Blog sobre TI: http://fabriziomello.blogspot.com Perfil Linkedin: http://br.linkedin.com/in/fabriziomello Twitter: http://twitter.com/fabriziomello ___ pgbr-geral mailing list pgbr-geral@listas.postgresql.org.br https://listas.postgresql.org.br/cgi-bin/mailman/listinfo/pgbr-geral ___ pgbr-geral mailing list pgbr-geral@listas.postgresql.org.br https://listas.postgresql.org.br/cgi-bin/mailman/listinfo/pgbr-geral ___ pgbr-geral mailing list pgbr-geral@listas.postgresql.org.br https://listas.postgresql.org.br/cgi-bin/mailman/listinfo/pgbr-geral
Re: [pgbr-geral] Limitar acesso
Olá, Em 7 de outubro de 2011 10:09, Bruno Silva bemanuel...@gmail.com escreveu: Pessoal, tenho alguns servidores Postgres que tem mais de uma base rodando no mesmo. Em alguns momentos preciso fazer manutenção em determinadas bases e gostaria de poder colocá-las em single mode. Como posso fazer? Até agora só vejo a possibilidade de colocar todo o SGBD em single mode. Existe outra forma? Você alterar o número de conexões do seu banco. ALTER DATABASE nomedobanco SET CONNECTION LIMIT=1; Assim seu banco permitirá apenas uma conexão. É isso que você quer? Bruno E. A. Silva. Analista de Sistemas. ___ pgbr-geral mailing list pgbr-geral@listas.postgresql.org.br https://listas.postgresql.org.br/cgi-bin/mailman/listinfo/pgbr-geral Abraços -- JotaComm http://jotacomm.wordpress.com ___ pgbr-geral mailing list pgbr-geral@listas.postgresql.org.br https://listas.postgresql.org.br/cgi-bin/mailman/listinfo/pgbr-geral
Re: [pgbr-geral] Limitar acesso
On 07-10-2011 10:49, Bruno Silva wrote: No caso estou sem acesso ao SO. E no 8.0 já tentei colocar o usuário em NOLOGIN e não funciona. Você tem certeza? Sessões já iniciadas não são terminadas. -- Euler Taveira de Oliveira - Timbira http://www.timbira.com.br/ PostgreSQL: Consultoria, Desenvolvimento, Suporte 24x7 e Treinamento ___ pgbr-geral mailing list pgbr-geral@listas.postgresql.org.br https://listas.postgresql.org.br/cgi-bin/mailman/listinfo/pgbr-geral
Re: [pgbr-geral] Limitar acesso
Então resumindo não tenho como colocar o banco em single mode correto? Bruno E. A. Silva. Analista de Sistemas. 2011/10/7 Euler Taveira de Oliveira eu...@timbira.com On 07-10-2011 10:49, Bruno Silva wrote: No caso estou sem acesso ao SO. E no 8.0 já tentei colocar o usuário em NOLOGIN e não funciona. Você tem certeza? Sessões já iniciadas não são terminadas. -- Euler Taveira de Oliveira - Timbira http://www.timbira.com.br/ PostgreSQL: Consultoria, Desenvolvimento, Suporte 24x7 e Treinamento ___ pgbr-geral mailing list pgbr-geral@listas.postgresql.org.br https://listas.postgresql.org.br/cgi-bin/mailman/listinfo/pgbr-geral ___ pgbr-geral mailing list pgbr-geral@listas.postgresql.org.br https://listas.postgresql.org.br/cgi-bin/mailman/listinfo/pgbr-geral
Re: [pgbr-geral] Limitar acesso
Olá, Em 7 de outubro de 2011 12:41, Bruno Silva bemanuel...@gmail.com escreveu: Então resumindo não tenho como colocar o banco em single mode correto? Um banco não. Você coloca a instância toda em single mode. Você chegou a ler a minha resposta anterior? Ela não resolve o seu problema? Bruno E. A. Silva. Analista de Sistemas. 2011/10/7 Euler Taveira de Oliveira eu...@timbira.com On 07-10-2011 10:49, Bruno Silva wrote: No caso estou sem acesso ao SO. E no 8.0 já tentei colocar o usuário em NOLOGIN e não funciona. Você tem certeza? Sessões já iniciadas não são terminadas. -- Euler Taveira de Oliveira - Timbira http://www.timbira.com.br/ PostgreSQL: Consultoria, Desenvolvimento, Suporte 24x7 e Treinamento ___ pgbr-geral mailing list pgbr-geral@listas.postgresql.org.br https://listas.postgresql.org.br/cgi-bin/mailman/listinfo/pgbr-geral ___ pgbr-geral mailing list pgbr-geral@listas.postgresql.org.br https://listas.postgresql.org.br/cgi-bin/mailman/listinfo/pgbr-geral Abraços -- JotaComm http://jotacomm.wordpress.com ___ pgbr-geral mailing list pgbr-geral@listas.postgresql.org.br https://listas.postgresql.org.br/cgi-bin/mailman/listinfo/pgbr-geral
Re: [pgbr-geral] Limitar acesso
Li, ele não aceita o comando. Acho que deve ser algum bug da versão 8.0 Estou fazendo uma limpeza nos Postgres existentes aqui. Tinhamos 8.0, 8.2 e 8.3 no ar. Agora todos serão 1, e passaremos a usar a versão 9.1.1 Bruno E. A. Silva. Analista de Sistemas. Bacharel em Sistemas de Informação Pós-graduando em Gerência de Projetos Mestrando em Ciências da Computação Certified Scrum Master LPIC-1 SCJP, SE 6 Novell CLA / DCTS ECR DBA Postgres --- “A caixa dizia: Requer MS Windows ou superior. Então instalei Linux.” - Sábio Desconhecido Alguns prestam serviço/consultoria de Qualidade, os outros vendem licença! 2011/10/7 JotaComm jota.c...@gmail.com Olá, Em 7 de outubro de 2011 12:41, Bruno Silva bemanuel...@gmail.comescreveu: Então resumindo não tenho como colocar o banco em single mode correto? Um banco não. Você coloca a instância toda em single mode. Você chegou a ler a minha resposta anterior? Ela não resolve o seu problema? Bruno E. A. Silva. Analista de Sistemas. 2011/10/7 Euler Taveira de Oliveira eu...@timbira.com On 07-10-2011 10:49, Bruno Silva wrote: No caso estou sem acesso ao SO. E no 8.0 já tentei colocar o usuário em NOLOGIN e não funciona. Você tem certeza? Sessões já iniciadas não são terminadas. -- Euler Taveira de Oliveira - Timbira http://www.timbira.com.br/ PostgreSQL: Consultoria, Desenvolvimento, Suporte 24x7 e Treinamento ___ pgbr-geral mailing list pgbr-geral@listas.postgresql.org.br https://listas.postgresql.org.br/cgi-bin/mailman/listinfo/pgbr-geral ___ pgbr-geral mailing list pgbr-geral@listas.postgresql.org.br https://listas.postgresql.org.br/cgi-bin/mailman/listinfo/pgbr-geral Abraços -- JotaComm http://jotacomm.wordpress.com ___ pgbr-geral mailing list pgbr-geral@listas.postgresql.org.br https://listas.postgresql.org.br/cgi-bin/mailman/listinfo/pgbr-geral ___ pgbr-geral mailing list pgbr-geral@listas.postgresql.org.br https://listas.postgresql.org.br/cgi-bin/mailman/listinfo/pgbr-geral
Re: [pgbr-geral] Limitar acesso
On 07-10-2011 11:02, JotaComm wrote: Você alterar o número de conexões do seu banco. ALTER DATABASE nomedobanco SET CONNECTION LIMIT=1; Assim seu banco permitirá apenas uma conexão. É isso que você quer? Não funciona com super-usuários (vide superuser_reserved_connections). -- Euler Taveira de Oliveira - Timbira http://www.timbira.com.br/ PostgreSQL: Consultoria, Desenvolvimento, Suporte 24x7 e Treinamento ___ pgbr-geral mailing list pgbr-geral@listas.postgresql.org.br https://listas.postgresql.org.br/cgi-bin/mailman/listinfo/pgbr-geral
Re: [pgbr-geral] Limitar acesso
Olá, Euler Em 7 de outubro de 2011 14:52, Euler Taveira de Oliveira eu...@timbira.comescreveu: On 07-10-2011 11:02, JotaComm wrote: Você alterar o número de conexões do seu banco. ALTER DATABASE nomedobanco SET CONNECTION LIMIT=1; Assim seu banco permitirá apenas uma conexão. É isso que você quer? Não funciona com super-usuários (vide superuser_reserved_connections). Sim, estou ciente disso. Mas acredito que as aplicações não deve utilizar superusuários, e sem usuários regulares. Todos os sistemas que eu cuido não tem superusuário, a não ser o usuário postgres para administração. Por isso a minha esta foi a minha sugestão. -- Euler Taveira de Oliveira - Timbira http://www.timbira.com.br/ PostgreSQL: Consultoria, Desenvolvimento, Suporte 24x7 e Treinamento ___ pgbr-geral mailing list pgbr-geral@listas.postgresql.org.br https://listas.postgresql.org.br/cgi-bin/mailman/listinfo/pgbr-geral Abraços -- JotaComm http://jotacomm.wordpress.com ___ pgbr-geral mailing list pgbr-geral@listas.postgresql.org.br https://listas.postgresql.org.br/cgi-bin/mailman/listinfo/pgbr-geral
Re: [pgbr-geral] Limitar acesso
Nem eu. SuperUsuário não jogo pra sistema nem usuário da base. Bruno E. A. Silva. Analista de Sistemas. 2011/10/7 JotaComm jota.c...@gmail.com Olá, Euler Em 7 de outubro de 2011 14:52, Euler Taveira de Oliveira eu...@timbira.com escreveu: On 07-10-2011 11:02, JotaComm wrote: Você alterar o número de conexões do seu banco. ALTER DATABASE nomedobanco SET CONNECTION LIMIT=1; Assim seu banco permitirá apenas uma conexão. É isso que você quer? Não funciona com super-usuários (vide superuser_reserved_connections). Sim, estou ciente disso. Mas acredito que as aplicações não deve utilizar superusuários, e sem usuários regulares. Todos os sistemas que eu cuido não tem superusuário, a não ser o usuário postgres para administração. Por isso a minha esta foi a minha sugestão. -- Euler Taveira de Oliveira - Timbira http://www.timbira.com.br/ PostgreSQL: Consultoria, Desenvolvimento, Suporte 24x7 e Treinamento ___ pgbr-geral mailing list pgbr-geral@listas.postgresql.org.br https://listas.postgresql.org.br/cgi-bin/mailman/listinfo/pgbr-geral Abraços -- JotaComm http://jotacomm.wordpress.com ___ pgbr-geral mailing list pgbr-geral@listas.postgresql.org.br https://listas.postgresql.org.br/cgi-bin/mailman/listinfo/pgbr-geral ___ pgbr-geral mailing list pgbr-geral@listas.postgresql.org.br https://listas.postgresql.org.br/cgi-bin/mailman/listinfo/pgbr-geral
Re: [pgbr-geral] Limitar acesso
On 07-10-2011 15:00, JotaComm wrote: Sim, estou ciente disso. Mas acredito que as aplicações não deve utilizar superusuários, e sem usuários regulares. Todos os sistemas que eu cuido não tem superusuário, a não ser o usuário postgres para administração. Por isso a minha esta foi a minha sugestão. Infelizmente isso passa muito distante do que tenho observado por aí. :( Só para se ter uma ideia, nos meus últimos 5 clientes, 4 executavam os seus sistemas como super-usuários para evitar erros de permissão. E são clientes cujo impacto financeiro pode maior do que 10⁶. -- Euler Taveira de Oliveira - Timbira http://www.timbira.com.br/ PostgreSQL: Consultoria, Desenvolvimento, Suporte 24x7 e Treinamento ___ pgbr-geral mailing list pgbr-geral@listas.postgresql.org.br https://listas.postgresql.org.br/cgi-bin/mailman/listinfo/pgbr-geral
Re: [pgbr-geral] Limitar acesso
2011/10/7 Euler Taveira de Oliveira eu...@timbira.com: Infelizmente isso passa muito distante do que tenho observado por aí. :( Só para se ter uma ideia, nos meus últimos 5 clientes, 4 executavam os seus sistemas como super-usuários para evitar erros de permissão. E são clientes cujo impacto financeiro pode maior do que 10⁶. É ainda pior... Entregamos um usuário sem poderes de super-vaca na esperança de permanecer seguros e o indecente do programador permite que a aplicação execute DELETE FROM table WHERE TRUE através de injeção SQL. Abraço! -Leo -- Leonardo Cezar http://postgreslogia.wordpress.com ___ pgbr-geral mailing list pgbr-geral@listas.postgresql.org.br https://listas.postgresql.org.br/cgi-bin/mailman/listinfo/pgbr-geral
Re: [pgbr-geral] Limitar acesso
Opa, Em 7 de outubro de 2011 15:46, Leonardo Cezar lhce...@gmail.com escreveu: 2011/10/7 Euler Taveira de Oliveira eu...@timbira.com: Infelizmente isso passa muito distante do que tenho observado por aí. :( Só para se ter uma ideia, nos meus últimos 5 clientes, 4 executavam os seus sistemas como super-usuários para evitar erros de permissão. E são clientes cujo impacto financeiro pode maior do que 10⁶. É ainda pior... Entregamos um usuário sem poderes de super-vaca na esperança de permanecer seguros e o indecente do programador permite que a aplicação execute DELETE FROM table WHERE TRUE através de injeção SQL. Será que sou muito cri-cri (vulgo chato)? Eu não deixo ninguém ter mais permissão do que o necessário. Abraço! -Leo -- Leonardo Cezar http://postgreslogia.wordpress.com ___ pgbr-geral mailing list pgbr-geral@listas.postgresql.org.br https://listas.postgresql.org.br/cgi-bin/mailman/listinfo/pgbr-geral Abraços -- JotaComm http://jotacomm.wordpress.com ___ pgbr-geral mailing list pgbr-geral@listas.postgresql.org.br https://listas.postgresql.org.br/cgi-bin/mailman/listinfo/pgbr-geral
Re: [pgbr-geral] Limitar acesso
Em 7 de outubro de 2011 15:46, Leonardo Cezar lhce...@gmail.com escreveu: 2011/10/7 Euler Taveira de Oliveira eu...@timbira.com: Infelizmente isso passa muito distante do que tenho observado por aí. :( Só para se ter uma ideia, nos meus últimos 5 clientes, 4 executavam os seus sistemas como super-usuários para evitar erros de permissão. E são clientes cujo impacto financeiro pode maior do que 10⁶. É ainda pior... Entregamos um usuário sem poderes de super-vaca na esperança de permanecer seguros e o indecente do programador permite que a aplicação execute DELETE FROM table WHERE TRUE através de injeção SQL. Leo, que tal desabafar essa e mais outras num LT la no PGBR? :D -- Dickson S. Guedes mail/xmpp: gue...@guedesoft.net - skype: guediz http://guedesoft.net - http://www.postgresql.org.br ___ pgbr-geral mailing list pgbr-geral@listas.postgresql.org.br https://listas.postgresql.org.br/cgi-bin/mailman/listinfo/pgbr-geral
Re: [pgbr-geral] Limitar acesso
Nam tem ainda pior. Tenho um cliente que todas as aplicações usam o usuário postgres e o pg_hba tem 'host all all 0/0 true' Bruno E. A. Silva. Analista de Sistemas. Bacharel em Sistemas de Informação Pós-graduando em Gerência de Projetos Mestrando em Ciências da Computação Certified Scrum Master LPIC-1 SCJP, SE 6 Novell CLA / DCTS ECR DBA Postgres --- “A caixa dizia: Requer MS Windows ou superior. Então instalei Linux.” - Sábio Desconhecido Alguns prestam serviço/consultoria de Qualidade, os outros vendem licença! 2011/10/7 Leonardo Cezar lhce...@gmail.com 2011/10/7 Euler Taveira de Oliveira eu...@timbira.com: Infelizmente isso passa muito distante do que tenho observado por aí. :( Só para se ter uma ideia, nos meus últimos 5 clientes, 4 executavam os seus sistemas como super-usuários para evitar erros de permissão. E são clientes cujo impacto financeiro pode maior do que 10⁶. É ainda pior... Entregamos um usuário sem poderes de super-vaca na esperança de permanecer seguros e o indecente do programador permite que a aplicação execute DELETE FROM table WHERE TRUE através de injeção SQL. Abraço! -Leo -- Leonardo Cezar http://postgreslogia.wordpress.com ___ pgbr-geral mailing list pgbr-geral@listas.postgresql.org.br https://listas.postgresql.org.br/cgi-bin/mailman/listinfo/pgbr-geral ___ pgbr-geral mailing list pgbr-geral@listas.postgresql.org.br https://listas.postgresql.org.br/cgi-bin/mailman/listinfo/pgbr-geral
Re: [pgbr-geral] Limitar acesso
2011/10/7 Dickson S. Guedes lis...@guedesoft.net: Em 7 de outubro de 2011 15:46, Leonardo Cezar lhce...@gmail.com escreveu: Entregamos um usuário sem poderes de super-vaca na esperança de permanecer seguros e o indecente do programador permite que a aplicação execute DELETE FROM table WHERE TRUE através de injeção SQL. Leo, que tal desabafar essa e mais outras num LT la no PGBR? :D Opa! Com certeza, Guedes, mas 5 minutos parecem pouco para o tema, não? Vou deixar a bola saltando e depois vcs DBAs e programdores que se resolvam :-D -Leo -- Leonardo Cezar http://postgreslogia.wordpress.com ___ pgbr-geral mailing list pgbr-geral@listas.postgresql.org.br https://listas.postgresql.org.br/cgi-bin/mailman/listinfo/pgbr-geral
Re: [pgbr-geral] Limitar acesso
2011/10/7 JotaComm jota.c...@gmail.com: Opa, Em 7 de outubro de 2011 15:46, Leonardo Cezar lhce...@gmail.com escreveu: Entregamos um usuário sem poderes de super-vaca na esperança de permanecer seguros e o indecente do programador permite que a aplicação execute DELETE FROM table WHERE TRUE através de injeção SQL. Será que sou muito cri-cri (vulgo chato)? Eu não deixo ninguém ter mais permissão do que o necessário. Jota, estou curioso pra saber como vc restringe o DELETE (ou qualquer outro DML) de um usuário que necessita de permissões de CRUD na aplicação. Este definitivamente não é problema do DBA, muito embora existam algumas brechas que podemos dificultar. -Leo -- Leonardo Cezar http://postgreslogia.wordpress.com ___ pgbr-geral mailing list pgbr-geral@listas.postgresql.org.br https://listas.postgresql.org.br/cgi-bin/mailman/listinfo/pgbr-geral
Re: [pgbr-geral] Limitar acesso
Em 7 de outubro de 2011 15:56, Leonardo Cezar lhce...@gmail.com escreveu: 2011/10/7 Dickson S. Guedes lis...@guedesoft.net: Em 7 de outubro de 2011 15:46, Leonardo Cezar lhce...@gmail.com escreveu: Entregamos um usuário sem poderes de super-vaca na esperança de permanecer seguros e o indecente do programador permite que a aplicação execute DELETE FROM table WHERE TRUE através de injeção SQL. Leo, que tal desabafar essa e mais outras num LT la no PGBR? :D Opa! Com certeza, Guedes, mas 5 minutos parecem pouco para o tema, não? Definitivamente não, mas certos questionamentos levantados em 5 minutos podem iniciar um processo filosófico tão longo, que tempo de conclusão tende ao 8 deitado. E nem sempre precisamos das melhores respostas, mas sim das melhores questões. :) -- Dickson S. Guedes mail/xmpp: gue...@guedesoft.net - skype: guediz http://guedesoft.net - http://www.postgresql.org.br ___ pgbr-geral mailing list pgbr-geral@listas.postgresql.org.br https://listas.postgresql.org.br/cgi-bin/mailman/listinfo/pgbr-geral
Re: [pgbr-geral] Limitar acesso ao banco via SQL?
Olá, Apenas tome cuidado ao fazer uso disso porque você pode tirar acessos de muitos usuários. Uma outra solução seria: ALTER ROLE usuario NOLOGIN; Assim este determinado fica sem conseguir fazer login em qualquer banco de dados. 2009/10/16 Matheus Ricardo Espanhol matheusespan...@gmail.com Olá Rubens, Você pode revogar o privilégio CONNECT para todos e depois conceder para determinado usuário: REVOKE CONNECT ON DATABASE banco FROM PUBLIC; GRANT CONNECT ON DATABASEbanco to usuario; 2009/10/16 Rubens José Rodrigues rubens.rodrig...@batistarepresentacoes.com Pessoal, Tenho uma dúvida, existe uma forma de limitar o acesso (AKA disable login) no PostgreSQL via SQL? Sei que tenho condições de fazer isto via pg_hba.conf. Grato, Rubens J Rodrigues ___ pgbr-geral mailing list pgbr-geral@listas.postgresql.org.br https://listas.postgresql.org.br/cgi-bin/mailman/listinfo/pgbr-geral -- Matheus Ricardo Espanhol --- Dextra Sistemas http://www.dextra.com.br/postgres/ ___ pgbr-geral mailing list pgbr-geral@listas.postgresql.org.br https://listas.postgresql.org.br/cgi-bin/mailman/listinfo/pgbr-geral []s -- JotaComm http://jotacomm.wordpress.com ___ pgbr-geral mailing list pgbr-geral@listas.postgresql.org.br https://listas.postgresql.org.br/cgi-bin/mailman/listinfo/pgbr-geral
[pgbr-geral] Limitar acesso ao banco via SQL?
Pessoal, Tenho uma dúvida, existe uma forma de limitar o acesso (AKA disable login) no PostgreSQL via SQL? Sei que tenho condições de fazer isto via pg_hba.conf. Grato, Rubens J Rodrigues ___ pgbr-geral mailing list pgbr-geral@listas.postgresql.org.br https://listas.postgresql.org.br/cgi-bin/mailman/listinfo/pgbr-geral
Re: [pgbr-geral] Limitar acesso ao banco via SQL?
Olá Rubens, Você pode revogar o privilégio CONNECT para todos e depois conceder para determinado usuário: REVOKE CONNECT ON DATABASE banco FROM PUBLIC; GRANT CONNECT ON DATABASEbanco to usuario; 2009/10/16 Rubens José Rodrigues rubens.rodrig...@batistarepresentacoes.com Pessoal, Tenho uma dúvida, existe uma forma de limitar o acesso (AKA disable login) no PostgreSQL via SQL? Sei que tenho condições de fazer isto via pg_hba.conf. Grato, Rubens J Rodrigues ___ pgbr-geral mailing list pgbr-geral@listas.postgresql.org.br https://listas.postgresql.org.br/cgi-bin/mailman/listinfo/pgbr-geral -- Matheus Ricardo Espanhol --- Dextra Sistemas http://www.dextra.com.br/postgres/ ___ pgbr-geral mailing list pgbr-geral@listas.postgresql.org.br https://listas.postgresql.org.br/cgi-bin/mailman/listinfo/pgbr-geral
Re: [pgbr-geral] Limitar acesso ao banco via SQL?
2009/10/16 Rubens José Rodrigues rubens.rodrig...@batistarepresentacoes.com Pessoal, Tenho uma dúvida, existe uma forma de limitar o acesso (AKA disable login) no PostgreSQL via SQL? Sei que tenho condições de fazer isto via pg_hba.conf. Grato, Rubens J Rodrigues https://listas.postgresql.org.br/cgi-bin/mailman/listinfo/pgbr-geral Creio que com um GRANT/REVOKE você consiga fazer o que deseja. Veja o GRANT CONNECT DATABASE meudb TO meuusuario em [1]. [1] http://www.postgresql.org/docs/8.4/interactive/sql-grant.html -- Fabrízio de Royes Mello Blog sobre TI: http://fabriziomello.blogspot.com ___ pgbr-geral mailing list pgbr-geral@listas.postgresql.org.br https://listas.postgresql.org.br/cgi-bin/mailman/listinfo/pgbr-geral