• [^] # Re: Plus d'infos

    Posté par . En réponse au message mot de passe psql??? postgresql sous ubuntu. Évalué à 1.

    En effet, je me suis un peu mélangé entre le mot de passe du compte postgres qui a un compte sur la machine et celui qui a un accès aux bases de données, l'utilisateur de postgresql lui-même.

    Donc, je reprends mes explications en espérant ni me tromper, ni être clair comme de l'eau de boudin ce coup-ci.
    Sur mes machines (parce que je fous postgresql partout), je donne un mot de passe au compte postgres, celui qui se connecte au login. Je place les scripts de sauvegardes dans le fcrontab de cet utilisateur ensuite.
    Dans le pg_hba.conf, j'ai mis ces deux lignes :
    local all postgres trust
    local all all md5

    Mais ton commentaire (très intéressant au demeurant) m'a poussé à faire quelques tentatives, et je dois dire que c'est un trou de sécurité énorme. En effet, pour peu que tu aies un accès à la machine (comprendre un compte, avec lequel tu es identifié au login et que tu aies un shell), tu peux ensuite faire la chose suivante :
    $ psql template1 -U postgres
    il ne te demande aucun mot de passe !!!!!!
    Je vais donc rechercher un peu comment sécuriser tout ça, de façon à ce que seul l'utilisateur postgres connecté au système n'ait pas de mot de passe à entrer, mais que la commande donnée ci-dessus soit giclée automatiquement (ou en tout cas, demande le mot de passe du compte postgres).