Discussion :

[looping]

Bonjour,

Je me suis documenté sur les droits PostgreSQL.
Il y a beaucoup de tuto, de site, etc...et c'est parfois assez confus.

Voila ce que j'ai compris:

soit une base base_test et un utlisateur user_rw qui doit etre en lecture/écriture sur toutes les tables

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
 
1) GRANT CONNECT ON DATABASE base_test TO user_rw 
 
2) GRANT USAGE ON SCHEMA public TO user_rw
 
3) GRANT SELECT, INSERT, UPDATE, DELETE ON ALL TABLES IN SCHEMA public TO user_rw 
 
4) GRANT SELECT, UPDATE ON SEQUENCES TO user_rw

Est ce que ces 4 lignes suffisent ?
Est ce que le point 2) est indispensable ?


J'ai aussi des fonctions/procedures dans mes tables: est ce qu'il faut aussi mettre des droits dessus ?


Cordialement

[Michel.Priori]

Bonjour,

Les droits sous PostgreSQL ne sont pas évidents.
Première source de confusion PUBLIC : c'est le nom d'un schéma mais aussi du rôle (par défaut tout le monde adhère au rôle PUBLIC)
Autre source de confusion : le fichier pg_hba.conf. On peut faire de la sécurité d'accès grâce à ce fichier ... si il t'est accessible (pas accessible dans l'offre Azure).
nb : si la connexion est refusée à cause d'une règle de ce fichier => voir le fichier de log, le refus et le n° de ligne/règle est consigné.

La première chose à faire est de vérifier quels sont les droits affectés au rôle Public tant au niveau de l'instance que de la base.
Par exemple est-ce que Public a le droit de se connecter à telle ou telle base ? (si oui ton point 1 n'est pas utile !)

Pour le point 2 : il faut être connecté à la base en question pour que ceci s'applique au schéma public de ta base ; ça parait évident mais je préfère le préciser ^^
D'un point de vue strictement sécuritaire, vu que le schéma public héberge toutes les tables et vues "système", bon nombre de personnes conseillent de créer un autre schéma et le rendre "par défaut" ; histoire de ne pas mélanger le torchons et les serviettes.

Les points 3 et 4 donnent les droits sur le schéma public (voir § précédent) mais que sur les objets existants ! il faut faire un ALTER DEFAULT PRIVILEGES pour s'en prémunir
https://www.postgresql.org/docs/9.4/...rivileges.html

Donc :
est-ce que les 4 lignes sont suffisantes ? j'aurais tendance à dire non (ou alors tu es dans un cas d'usage spécifique)
est-ce que le point 2 est indispensable ? revoir le § sur le point 2
est-ce qu'on doit donner les droits aussi sur les fonctions ? oui (conseil : revoir le § sur le point 2)