| Lists: | Postg토토 꽁 머니SQL |
|---|
| From: | Mustafa Karakaplan <karakaplanm(at)gmail(dot)com> |
|---|---|
| To: | pgsql-tr-genel <pgsql-tr-genel(at)postgresql(dot)org> |
| Subject: | Postgresql'i uzak bağlantıya açmak. |
| Date: | 2015-03-12 08:02:18 |
| Message-ID: | CAGnrNAMfjPcmfJcc=-tncjF2j4PSwyD87kji5biPuyJoO2iW=g@mail.gmail.com |
| Views: | Raw Message | Whole Thread | Download mbox | Resend email |
| Lists: | Postg토토 꽁 머니SQL |
Selamlar,
Sadece kendimin kullanacağı bir Postgresql sunucuyu ttnet üzerinden uzak
bağlantıya açmak istiyorum. Güvenli midir? Bir sakıncası var mıdır?
| From: | Atıf CEYLAN <mehmet(at)atifceylan(dot)com> |
|---|---|
| To: | pgsql-tr-genel(at)postgresql(dot)org |
| Subject: | Re: Postgresql'i uzak bağlantıya açmak. |
| Date: | 2015-03-12 08:45:58 |
| Message-ID: | 55015246.7030809@atifceylan.com |
| Views: | Raw Message | Whole Thread | Download mbox | Resend email |
| Lists: | pgsql-tr-genel |
On 12-03-2015 10:02, Mustafa Karakaplan wrote:
> Selamlar,
>
> Sadece kendimin kullanacağı bir Postgresql sunucuyu ttnet üzerinden
> uzak bağlantıya açmak istiyorum. Güvenli midir? Bir sakıncası var mıdır?
>
>
>
Merhaba,
Sunucunuz bir veri merkezinde mi yoksa bir DSL modem arkasında mı? Yani
TTNET üzerinden uzak bağlantıya açmak kısmını biraz açıklarsanız daha
iyi olur.
Eğer erişim yapılacak noktalar belli ise o zaman o noktalara ait ip
adresleri modem/firewall üzerinden kısıtlanarak büyük ölçüde güvenlik
sağlanmış olur.
Bir diğer konu,
pg_hba.conf dosyasından da bağlanacak ip adreslerini ve hangi kullanıcı
ile hangi veritabanına bağlanacağı bilgisini kısıtlamak yine
güvenliğiniz ve bağlantı yapabilmeniz için gerekli bir ayar.
postgresql.conf dosyası içindeki listen parametresini de düzenlemeniz ve
localhost ibaresini * yapmanız gerekiyor.
Bunların dışında güvenlik için bağlantı yaptığınız kullanıcının eğer
gerekmiyorsa superuser olmaması ya da ihtiyaç duyulan minimum
yetkilendirmeye sahip olması ve elbetteki güçlü parola atanmış olması
güvenliğiniz için çok önemli.
Bir diğer hususta bağlantınızda SSL kullanmanız ağ trafiğinin
dinlenmemesi için önemlidir.
--
M.Atıf CEYLAN
Yurdum Yazılım
---------------------------(end of broadcast)---------------------------
TIP 4: Don't 'kill -9' the postmaster
| From: | Devrim Gündüz <devrim(at)gunduz(dot)org> |
|---|---|
| To: | Mustafa Karakaplan <karakaplanm(at)gmail(dot)com> |
| Cc: | pgsql-tr-genel <pgsql-tr-genel(at)postgresql(dot)org> |
| Subject: | Re: Postgresql'i uzak bağlantıya açmak. |
| Date: | 2015-03-12 08:48:08 |
| Message-ID: | 1426150088.22776.90.camel@gunduz.org |
| Views: | Raw Message | Whole Thread | Download mbox | Resend email |
| Lists: | pgsql-tr-genel |
Hocam merhaba,
On Thu, 2015-03-12 at 10:02 +0200, Mustafa Karakaplan wrote:
> Sadece kendimin kullanacağı bir Postgresql sunucuyu ttnet üzerinden
> uzak bağlantıya açmak istiyorum. Güvenli midir? Bir sakıncası var
> mıdır ?
pg_hba.conf'dan, sunucunuza bağlanacak ip'lerin listesini
belirleyebilirseniz *herkese açmaya göre* daha güvenli olur.
Eğer herhangi bir yerden bağlanacaksanız, 9.3 ve üzerinde gelen ssl cert
auth'u kullanmanızı öneririm.
Saygılar,
--
Devrim GÜNDÜZ
Principal Systems Engineer @ EnterpriseDB: http://www.enterprisedb.com
PostgreSQL Danışmanı/Consultant, Red Hat Certified Engineer
Twitter: @DevrimGunduz , @DevrimGunduzTR
| From: | Murat Koç <murat(at)profelis(dot)com(dot)tr> |
|---|---|
| To: | Mustafa Karakaplan <karakaplanm(at)gmail(dot)com> |
| Cc: | pgsql-tr-genel <pgsql-tr-genel(at)postgresql(dot)org> |
| Subject: | Re: [pgsql-tr-genel] Postgresql'i uzak bağlantıya açmak. |
| Date: | 2015-03-12 13:56:55 |
| Message-ID: | CAPgQZct8AiKA0LhYq4mRBAjQc21ohTJhV2igUajJd7qU8ONNrQ@mail.gmail.com |
| Views: | Raw Message | Whole Thread | Download mbox | Resend email |
| Lists: | pgsql-tr-genel |
> Selamlar,
>
>
Selam,
> Sadece kendimin kullanacağı bir Postgresql sunucuyu ttnet üzerinden uzak
> bağlantıya açmak istiyorum. Güvenli midir? Bir sakıncası var mıdır?
>
>
Karakaplan hocam, bugün güvenlidir belki ama yarın ne çıkacağı belli
olmaz(*) o nedenle yalnızca kendin kullanacak isen makinaya (veya önüne)
openvpn sunucu koyup, firewalldan bütün herşeyi bloklayıp yalnızca vpn
interface ve IP'den gelen connectionlara izin vermen ve bunun yanında
pg_hba vs ayarlarını yapman en güvenli yöntem olacaktır.
*) Örneğin heartbleed açığında olduğu gibi, lakin ssl negotiation
postgreslde pg_hba.conf aşamasından daha önce gerçekleşir dolayısı ile bu
aşamadan önce henüz SSL aşamasında iken güvenliğin bypass edilmiş oluyor ve
pg_hba.conf da yazılı şeylerin hiç birisi seni kurtarmıyor idi. O nedenle
verinin önemine göre mutlaka önünde vpn/firewall gibi ekstra güvenlik
kullanman ve güvenliği yalnızca postgresql'e bırakmaman faydalı olacaktır.
Saygılarımla hocam :)
| From: | Omer Barlas <omer(dot)barlas(at)gmail(dot)com> |
|---|---|
| To: | |
| Cc: | pgsql-tr-genel(at)postgresql(dot)org |
| Subject: | Re: [pgsql-tr-genel] Re: [pgsql-tr-genel] Postgresql'i uzak bağlantıya açmak. |
| Date: | 2015-03-12 15:47:47 |
| Message-ID: | CAE+atWSV+V4T-fsV-P312ZdNYkC-abWVv9Y3kdUbkiTUzRueXA@mail.gmail.com |
| Views: | Raw Message | Whole Thread | Download mbox | Resend email |
| Lists: | pgsql-tr-genel |
Ben dışarıya hiç bağlantı vermeden SSH port redirect ile hallediyorum.
Bağlantı lokalden geliyormuş gibi göründüğü için pg_hba dosyasını da
sürekli değişen IPlere göre mıncıklamak gerekmiyor.
12 Mar 2015 14:57 tarihinde "Murat Koç" <murat(at)profelis(dot)com(dot)tr> yazdı:
>
> Selamlar,
>>
>>
> Selam,
>
>
>> Sadece kendimin kullanacağı bir Postgresql sunucuyu ttnet üzerinden uzak
>> bağlantıya açmak istiyorum. Güvenli midir? Bir sakıncası var mıdır?
>>
>>
>
> Karakaplan hocam, bugün güvenlidir belki ama yarın ne çıkacağı belli
> olmaz(*) o nedenle yalnızca kendin kullanacak isen makinaya (veya önüne)
> openvpn sunucu koyup, firewalldan bütün herşeyi bloklayıp yalnızca vpn
> interface ve IP'den gelen connectionlara izin vermen ve bunun yanında
> pg_hba vs ayarlarını yapman en güvenli yöntem olacaktır.
>
> *) Örneğin heartbleed açığında olduğu gibi, lakin ssl negotiation
> postgreslde pg_hba.conf aşamasından daha önce gerçekleşir dolayısı ile bu
> aşamadan önce henüz SSL aşamasında iken güvenliğin bypass edilmiş oluyor ve
> pg_hba.conf da yazılı şeylerin hiç birisi seni kurtarmıyor idi. O nedenle
> verinin önemine göre mutlaka önünde vpn/firewall gibi ekstra güvenlik
> kullanman ve güvenliği yalnızca postgresql'e bırakmaman faydalı olacaktır.
>
> Saygılarımla hocam :)
>
>