PostgreSQL a prava
Vaclav Ovsik
Vaclav.Ovsik na i.cz
Středa Květen 23 12:44:04 CEST 2001
Tohle je muj posledni prispevek na tohle tema.
On Wed, May 23, 2001 at 11:03:50AM +0200, Ing. Pavel PaJaSoft Janousek wrote:
> > Vylistovat dtabaze jdou, ale jejich vnitrni struktura uz ne.
>
> To je pro mne potesujici zprava, jakym zpusobem jste definoval pravidla
> pro pristup k databazi? Resp. takto:
> a) prihlasim se pod uzivatele A, ktery ma pravo vytvaret databaze
> b) vytvorim databazi
> c) vytvorim tabulky
> 4) pres REVOKE/GRANT nadefinuju patricna prava
> 5) ???
>
> Pokud skoncim 4. krokem (nevim, co bych mel v 5. udelat), pak alespon
> jeste verze 7.0.2., kterou bezne pouzivam se chova tak, jak jsem popsal,
> tedy vcetne toho, ze pres \d \dt apod. si vylistuji 'systemove'
> vnitrnosti databaze... (Nemluvim o sofistikovanych utilitach, ktere jdou
> na soubory primo na disk, mluvim ciste o nastroji psql)
Tento vas postup jsem ja vubec nepopisoval a nechapu proc ho tady uvadite
kdyz sam konstatujete, ze nevede k cili.
>
> > To podle me ten puvodni dotaz resi.
>
> Ano to by resilo, nikde v dokumentaci vsak jsem o tom nenasel zminku a
> ze cast ohledne prav ctu u kazde verze a cekam na zlepseni to mi
> verte...
Vcera jsem nainstalovat v. 7.1.1. Zadnou dokumentaci uz delsi cas nectu.
Podival jsem se proste jenom na komentare v pg_hba.conf a myslim,
ze je to z nich patrne.
>
> Ale jeste k tomu - takto definovana pravidla jsou hezka, ale co v tu
> chvili na to pgdump_all?:-(((
Nevim co pgdump_all. 'pgdump database' normalne funguje.
Doufam, ze necekate, ze budete moc dumpovat databaze na ktere jste
si zakazal pristup. :-)
>
> > #local all peer sameuser
> > local zito peer db_zito
> > local test peer db_test
> > #host all 127.0.0.1 255.0.0.0 ident sameuser
> > host all 0.0.0.0 0.0.0.0 reject
> >
> > *** kus pg_ident.conf:
> >
> > db_zito zito zito
> > db_test test test
>
> To vsak predpoklada existenci daemona identd a naslouchani na portu
> <ident>, bez toho to nelze? Existovali (-uji?) remote exploits prave na
> tuto sluzbu...
V tomto kontretnim pripade (lokalni komunikace) je zrovna pouzit typ
aut. peer, tedy zadny identd bezet nemusi.
Pokud mate k ident aut. odpor, je jeste k dispozici reseni,
ktere popsal Karel Zak pomoci aut. passwd.
--
Vaclav Ovsik email: Vaclav.Ovsik na i.cz
ICZ a.s. phone: +420 19 7488511
fax: +420 19 7488506
Další informace o konferenci Test