Нужно ли знать пароль от пользователя postgres?

Question

[Mimuss]

Слышал, что вообще не нужно знать пароль от пользователя postgres, так как это нарушает некоторую безопасность. Тогда как вообще поступают в этой ситуации? Создают роль с помощью постгреса с такими же привелегиями? И что делать с кластером, ведь владеет им postgres?
P.S. Качал с готового пакета на Ubuntu, поэтому пользователь postgres установлен по умолчанию и пароль от него я не знаю

Answer 1

[Александр Кузнецов]

postgres - это суперпользователь, которому по умолчанию доступно все.
Работать из под него, это примерно тоже самое, что и работать из под root-а на linux, или из под root-а в MySQL и т.д.

Чаще всего, вам нужна одна база. Вот и сделайте пользователя - администратора в контексте данной базы и подключайтесь через него. Это и правильнее и безопаснее.

Причина ведь простая, вы можете случайно что-то изменить/удалить, что может привести к печальным последствиям. Информационную безопасность так же нельзя выбрасывать, не все базы предназначены для вас и не все вы имеете право использовать.

По хорошему, подключаться из-род postgres можно только либо локально, либо с ограниченного числа хостов.

Answer 2

[ky0]

Нет ничего страшного в том, чтобы DBA знали пароль от юзера postgres, намного важнее ограничить возможность подбора пароля снаружи, например, с помощью pg_hba разрешив только локальный коннект.

Comments

[Mimuss]

И как поступать в этой ситуации? Создавать такого же пользвателя с такими же привелегиями? Или восстановить пароль?

[ky0]

Mimuss: в какой "этой ситуации"?

Да, есть встроенный суперпользователь. Пользоваться его реквизитами для работы или создать другого пользователя (или даже нескольких, для более чёткого разделения полномочий) - зависит исключительно от ваших предпочтений.