Thread: Безопасность
Добрый день. Подскажите пожалуйста.
Возникла необходимость запустить БД на публичном интерфейсе. Достаточно ли безопасно будет открыть доступ только с определенных IP таким обзором:
hostssl zzzzzzzz yyyyyyy xxx.xxx.xxx.xxx/32 md5
И вообще достаточно ли безопасно запускать БД на публичных интерфейсах?
Привет Не надо так делать, используйте VPN. Ну а если очень хочется - то обязательно по белому списку закройте через firewall. Авторизоваться не выйдет, но проверка авторизации - штука не бесплатная и спамом на попытку открыть соединение можно устроитьDoS. Сергей
Не понимаю. Vpn там же тоже есть авторизация какая то. Зачем плодить сущности?
пт, 26 Апр 2019, 11:17 Sergei Kornilov <sk@zsrv.org>:
Привет
Не надо так делать, используйте VPN.
Ну а если очень хочется - то обязательно по белому списку закройте через firewall.
Авторизоваться не выйдет, но проверка авторизации - штука не бесплатная и спамом на попытку открыть соединение можно устроить DoS.
Сергей
Спасибо.
пт, 26 Апр 2019, 12:04 Sergei Kornilov <sk@zsrv.org>:
Хорошо, я уточню: "проверка авторизации в PostgreSQL - штука далеко не бесплатная". Проверка hba выполняется после форка. Когда-нибудь видели что бывает с сервером допустим на 1000 fork/sec?Тот же openvpn или даже простой проброс порта через ssh положить куда сложнее. Они предназначены смотреть в небезопасный мир. В отличии от баз данных (любых, не только postgresql) которым быть открытыми в мир вовсе не нужно.Сергей26.04.2019, 11:46, "Aln Kapa" <alnkapa@gmail.com>:Не понимаю. Vpn там же тоже есть авторизация какая то. Зачем плодить сущности?пт, 26 Апр 2019, 11:17 Sergei Kornilov <sk@zsrv.org>:Привет
Не надо так делать, используйте VPN.
Ну а если очень хочется - то обязательно по белому списку закройте через firewall.
Авторизоваться не выйдет, но проверка авторизации - штука не бесплатная и спамом на попытку открыть соединение можно устроить DoS.
Сергей