[pgsql-jp: 40868] Re: pg_hba.confのtrustについて

[Takanori Yoshida]

吉田です。

> ご返信有難うございます。
> 
> trustにしてもパスワードは必要というような設定はないでしょうか？

はい、ありません。

> 少し気になるのが、WindowsXPでtrustにするとパスワードなしでログインできる 
> のですが、Windows7でtrustにしてもパス ワードが聞かれます。OSでtrustの意 
> 味も変わってくるのでしょうか？

OS によって trust の意味は変わりません。
pg_hba.conf の設定を変更した後、設定ファイルの反映は行われましたでしょうか？
pg_hba.conf は、再起動せずにリロードだけで反映ができます。

trust に設定は変えたけれども、PostgreSQL に反映させてないということが原因では
ないでしょうか？

> > 2011/7/20 wada3<wada_chan2 ＠ yahoo.co.jp>:
> >> サーバはユーザの管理者が触れるので、その方がパスワードを知らなくても
> >> pg_hba.confをtrustに書き換えてしまえば、結局は直接データが触れてしまうと
> >> 思うのですが、それを防ぐ方法はないでしょうか？
> > pg_hba.conf を書き換えられるということは、Postgres のデータファイル
> > そのものも読み書きできるということなので、認証機能で守ろうとしても
> > 実質的に意味はないと思いますよ。
> >
> > OSレベルで root または postgres ユーザ権を許しているということ
> > でしょうから、DBレベルではどうしようもないです。OSのその他の
> > セキュリティ機能 (SE-Linux とか?) で、正規で無いルートでの
> > ファイル改変を防ぐかたちになるのではないでしょうか。
> >
> >> pg_hba.conf自体を無効するような機能はないのでしょうか？
> > 無効化はできません。また、シングルユーザモードでの起動もできるので
> > やっぱりあまり意味はないと思います。

私もこの運用では無理があると思います。

-- 
Takanori Yoshida <takanori ＠ sraoss.co.jp>
SRA OSS, Inc. Japan