PostgreSQL a prava

Vaclav Ovsik Vaclav.Ovsik na i.cz
Středa Květen 23 12:44:04 CEST 2001


Tohle je muj posledni prispevek na tohle tema.

On Wed, May 23, 2001 at 11:03:50AM +0200, Ing. Pavel PaJaSoft Janousek wrote:
> > Vylistovat dtabaze jdou, ale jejich vnitrni struktura uz ne.
> 
> 	To je pro mne potesujici zprava, jakym zpusobem jste definoval pravidla
> pro pristup k databazi? Resp. takto:
> a) prihlasim se pod uzivatele A, ktery ma pravo vytvaret databaze
> b) vytvorim databazi
> c) vytvorim tabulky
> 4) pres REVOKE/GRANT nadefinuju patricna prava
> 5) ???
> 
> 	Pokud skoncim 4. krokem (nevim, co bych mel v 5. udelat), pak alespon
> jeste verze 7.0.2., kterou bezne pouzivam se chova tak, jak jsem popsal,
> tedy vcetne toho, ze pres \d \dt apod. si vylistuji 'systemove'
> vnitrnosti databaze... (Nemluvim o sofistikovanych utilitach, ktere jdou
> na soubory primo na disk, mluvim ciste o nastroji psql)

Tento vas postup jsem ja vubec nepopisoval a nechapu proc ho tady uvadite
kdyz sam konstatujete, ze nevede k cili.


> 
> > To podle me ten puvodni dotaz resi.
> 
> 	Ano to by resilo, nikde v dokumentaci vsak jsem o tom nenasel zminku a
> ze cast ohledne prav ctu u kazde verze a cekam na zlepseni to mi
> verte...

Vcera jsem nainstalovat v. 7.1.1. Zadnou dokumentaci uz delsi cas nectu.
Podival jsem se proste jenom na komentare v pg_hba.conf a myslim,
ze je to z nich patrne.

> 
> 	Ale jeste k tomu - takto definovana pravidla jsou hezka, ale co v tu
> chvili na to pgdump_all?:-(((

Nevim co pgdump_all.  'pgdump database' normalne funguje.
Doufam, ze necekate, ze budete moc dumpovat databaze na ktere jste
si zakazal pristup. :-)

> 
> > #local        all                                           peer sameuser
> > local        zito                                           peer db_zito
> > local        test                                           peer db_test
> > #host         all         127.0.0.1     255.0.0.0           ident sameuser
> > host         all         0.0.0.0       0.0.0.0             reject
> > 
> > *** kus pg_ident.conf:
> > 
> > db_zito     zito    zito
> > db_test     test    test
> 
> 	To vsak predpoklada existenci daemona identd a naslouchani na portu
> <ident>, bez toho to nelze? Existovali (-uji?) remote exploits prave na
> tuto sluzbu...

V tomto kontretnim pripade (lokalni komunikace) je zrovna pouzit typ
aut. peer, tedy zadny identd bezet nemusi.
Pokud mate k ident aut. odpor, je jeste k dispozici reseni,
ktere popsal Karel Zak pomoci aut. passwd.

-- 
	Vaclav Ovsik		email: Vaclav.Ovsik na i.cz
	ICZ a.s.		phone: +420 19 7488511
				fax:   +420 19 7488506



Další informace o konferenci Test