Prezados(as)
Pesquisando no histórico da lista, encontrei a msg abaixo sobre o
arquivo pg_auth. Não encontrei esse arquivo em alguns bancos daqui
(versão 8.0.3, instalados em Debian Etch).
Minha dúvidas é se esse arquivo pode ser excluído sem problemas, o que
eliminaria a questão quebra de segurança em caso de sobreposição do
mesmo, descrita pelo Steve Howe.
Fiz pesquisas no google e na documentação do PostgreSQL e não encontrei
quase nada sobre ele. Na verdade, há uma referência em
http://www.postgresql.org/docs/techdocs.79 , que não esclarece nada.
Fiz uma instalação da versão 8.1.8 e o arquivo realmente foi instalado em
/var/lib/postgresql/8.1/main/global, mas eu o renomeei e nada aconteceu.
[]'s
Marcel
Re: [postgresql-br] Arquivo pg_pwd
Sexta-feira, 31 de março de 2006, 16:08:27, você escreveu:
Alguem confirma essa, por favor.
Fiquei sabendo que existe um arquivo na pasta do postgre, por exemplo
C:\Arquivos de programas\PostgreSQL\8.0\data\global que possui um
arquivo chamado pg_pwd que se editado da para ver que sao os usuarios e
senhas do banco da dados. E verdade que e possivel apenas copiar /
sobrepor este arquivo pelo que vem na instalacao do banco ou seja
usuario postgres e senha postgres e ai o camarada podera ter acesso
a tudo dentro do banco. Alguem sabe se isso e verdade. Se for e bem
fragil este esquema.
O nome do arquivo é "pg_auth" e não "pg_pwd", todos os arquivos naquele
diretório estão com as permissões devidamente definidas (0600), e o que
se tem neles é o hash MD5 das senhas, o que seria inútil mesmo que
alguém viesse a ter acesso a esse arquivo.
Exemplo:
carcass# cat pg_auth
"howe" "md58378a43cd60a5004626045485ae8b67d" ""
"temp" "md5d5bf0f423a04852d9c2228efa35c8af2" ""
Se por outro lado as senhas foram criadas sem hash, então, sim, elas
aparecem no arquivo:
howe=# create user dumb with unencrypted password 'senha';
CREATE ROLE
carcass# cat pg_auth
"howe" "md58378a43cd60a5004626045485ae8b67d" ""
"dumb" "senha" ""
"temp" "md5d5bf0f423a04852d9c2228efa35c8af2" ""
Quem deve restringir o acesso ao arquivo é a segurança do sistema
operacional. Os sistemas linux/unix armazenam seus usuários e senha em
arquivos conhecidos (/etc/passwd, /etc/group/, /etc/shadow, etc.) e nem
por isso são inseguros. O que é necessário é que as permissões de tal
arquivo estejam devidamente setadas para que usuãrios não autorizados
não consigam lê-lo - e o PostgreSQL o faz assim por default.
--
Um abraço,
Steve Howe mailto:[EMAIL PROTECTED]
_______________________________________________
pgbr-geral mailing list
pgbr-geral@listas.postgresql.org.br
https://listas.postgresql.org.br/cgi-bin/mailman/listinfo/pgbr-geral
