> 1) pour sécuriser un postgresql, écrire un patch pour qu'il se chroot
n'est pas trivial, en effet, lors de la création de tables il utilise
les commandes cp et rm, donc coder le patch n'a plus vraiment d'interet
puisque l'idee c'était justement de ne plus devoir recreer une arborescence
propre...
J'y comprend rien. Pourquoi tu veux chrooter alors que postgresql tourne sous le compte postgresql ?
> 2) Comment on fait pour ajouter des utilisateurs dynamiquement ?
Commande : CREATE USER
Description : définit un nouveau compte utilisateur de base de données
Syntaxe :
CREATE USER nom [ [ WITH ] option [ ... ] ]
avec comme options :
SYSID uid
| [ ENCRYPTED | UNENCRYPTED ] PASSWORD 'mot_de_passe'
| CREATEDB | NOCREATEDB
| CREATEUSER | NOCREATEUSER
| IN GROUP groupe_utilisateur [, ...]
| VALID UNTIL 'temps_absolu'
> il m'est impensable de laisser le fichier d'authentification accessible au processus postmaster ou à un de ses fils.
Les mots de passe sont cryptés (comme /etc/passwd, .htaccess, etc). Ils sont dans la base de donnée (comme mysql).
Puis comment tu veux faire une authentification sans avoir accès aux mots de passe ?
Je ne vois pas de différences avec MySQL.
[^] # Re: Critiques et interrogations.
Posté par morgendorffer . En réponse à la dépêche Sortie de PostgreSQL 8.0. Évalué à 1.
n'est pas trivial, en effet, lors de la création de tables il utilise
les commandes cp et rm, donc coder le patch n'a plus vraiment d'interet
puisque l'idee c'était justement de ne plus devoir recreer une arborescence
propre...
J'y comprend rien. Pourquoi tu veux chrooter alors que postgresql tourne sous le compte postgresql ?
> 2) Comment on fait pour ajouter des utilisateurs dynamiquement ?
Commande : CREATE USER
Description : définit un nouveau compte utilisateur de base de données
Syntaxe :
CREATE USER nom [ [ WITH ] option [ ... ] ]
avec comme options :
SYSID uid
| [ ENCRYPTED | UNENCRYPTED ] PASSWORD 'mot_de_passe'
| CREATEDB | NOCREATEDB
| CREATEUSER | NOCREATEUSER
| IN GROUP groupe_utilisateur [, ...]
| VALID UNTIL 'temps_absolu'
> il m'est impensable de laisser le fichier d'authentification accessible au processus postmaster ou à un de ses fils.
Les mots de passe sont cryptés (comme /etc/passwd, .htaccess, etc). Ils sont dans la base de donnée (comme mysql).
Puis comment tu veux faire une authentification sans avoir accès aux mots de passe ?
Je ne vois pas de différences avec MySQL.
Tu peux aussi utiliser LDAP ou kerberos.