serveurs:installation:db-srv:postgresql-ssh-tunnel

Créer un utilisateur avec accès par tunnel SSH en lecture seule aux bases GeoNature

Principe : les bases de données de GeoNature sont accessibles uniquement en local. Il n'y a pas d'ouverture du port 5432 sur l'extérieur. Ainsi pour se connecter à la base de données Postgresql, il faut être "présent" localement sur le serveur ou sur une machine du réseau privé 10.0.1.x. Il est donc nécessaire de se connecter à Postgresql via un tunnel SSH aboutissant sur l'instance "db-srv" où là la connexion pourra se faire sur l'hôte localhost et le port 5432.

Ressources :

Création d'un utilisateur "dbreader" sans "home"

L'utilisateur système permettant de créer le tunnel SSH sera nommé "dbreader". Il n'aura pas de dossier home et aucun shell actif. Pour cela suivre les étapes suivantes :

  • Création de l'utilisateur dbreader sur l'instance "db-srv" : useradd --no-create-home -s /usr/sbin/nologin dbreader
    • Créer un utilisateur sans possibilité de se loguer à un shell -s /usr/sbin/nologin n'empêche pas la connexion à la base Postgresql
  • Ajouter un mot de passe à l'utilisateur : passwd dbreader
  • Modifier le fichier de config du serveur SSH pour permettre un accès par mot de passe uniquement pour cet utilisateur : vi /etc/ssh/sshd_config
    • Ajouter à la fin du fichier les lignes suivantes (il est important que ces lignes soient bien complètement à la fin du fichier) : 
      Match User dbreader
    PasswordAuthentication yes
    • À la place de l'utilisation d'un mot de passe, il est aussi possible d'utiliser les clés SSH publiques des personnes autorisés en les plaçant dans le fichier /etc/ssh/authorized_keys_dbreader. Le code à ajouter à la fin du fichier sera alors : 
      Match User dbreader
    AuthorizedKeysFile  /etc/ssh/authorized_keys_%u
      • Vous pouvez copier/collet le fichier authorized_keys de l'utilisateur admin comme base de départ (et le modifier au besoin) : cp /home/admin/.ssh/authorized_keys /etc/ssh/authorized_keys_dbreader
      • Il est nécessaire de définir les droits sur le fichier /etc/ssh/authorized_keys_dbreader ainsi : chmod 600 /etc/ssh/authorized_keys_dbreader ; chown dbreader: /etc/ssh/authorized_keys_dbreader
    • Notez qu'il est aussi possible de combiner les deux possibilités (par mot de passe et clé SSH) ainsi : 
      Match User dbreader
    PasswordAuthentication yes
    AuthorizedKeysFile  /etc/ssh/authorized_keys_%u
    Banner none
      • Pour éviter l'affichage de la bannière de connexion au serveur : Banner none
    • Redémarrer le serveur Sshd : systemctl restart sshd
    • Tester la connexion au serveur : ssh dbreader@db-<region>-sinp
      • Cela devrait afficher : 
        Could not chdir to home directory /home/dbreader: No such file or directory
This account is currently not available.
Connection to db-paca-sinp closed.

Création d'un utilisateur en lecture seule pour Postgresql

Création de l'utilisateur et définition des droits

  • Se connecter à la base avec un compte superadmin : psql -h "localhost" -U "admin" -d "geonature2db"
  • Pour attribuer les droits de lecture seule à un utilisateur, si les droits ont été révoqué sur le schéma public des bases de données, il suffit depuis Postgresql 14 d’attribuer l'utilisateur lecteur au rôle par défaut pg_read_all_data et d'autoriser sa connexion à la base. Exécuter les requêtes suivantes :
    -- Créer l'utilisateur "gnreader"
CREATE USER gnreader WITH ENCRYPTED PASSWORD '<mot-de-passe>' ;
 
-- Donner le droit de se connecter aux bases
GRANT CONNECT ON DATABASE geonature2db TO gnreader ; 
GRANT CONNECT ON DATABASE gnatlas TO gnreader ; 
 
-- Associer l'utilisateur gnreader au rôle par défaut pg_read_all_data
GRANT pg_read_all_data TO gnreader;
    • Pour révoquer les droits d'accès en lecture seule à une base de données : 
      REVOKE CONNECT ON DATABASE <nom-base> FROM <nom-utilisateur-lecteur>;

🗑️ Base "geonature2db" (avant Postgresql 14)

  • Se connecter à la base "geonature2db" avec un compte superadmin : psql -h "localhost" -U "admin" -d "geonature2db"
  • Exécuter les requêtes suivantes :
    -- Autoriser l'utilisation de tous les schémas de la base :
-- 1. Générer la requête à exécuter
SELECT 'GRANT USAGE ON SCHEMA ' || string_agg(nspname, ', ') || ' TO gnreader ;' FROM pg_namespace ;
 
-- 2. Exécuter la requête obtenue précédemment
GRANT USAGE ON SCHEMA 
pg_toast, pg_temp_1, pg_toast_temp_1, pg_catalog, public, information_schema, gn_commons, gn_exports, gn_imports, gn_meta, gn_monitoring, gn_permissions, gn_sensitivity, gn_synthese, ref_geo, ref_habitats, ref_nomenclatures, taxonomie, utilisateurs
    TO gnreader ;
 
-- Autoriser l'utilisateur à faire des sélection sur toutes les tables de tous les schémas (même principe que ci-dessus)
-- 1. Générer la requête à exécuter
SELECT 'GRANT SELECT ON ALL TABLES IN SCHEMA ' || string_agg(nspname, ', ') || ' TO gnreader ;' FROM pg_namespace ;
 
-- 2. Exécuter la requête obtenue précédemment
GRANT SELECT ON ALL TABLES IN SCHEMA 
pg_toast, pg_temp_1, pg_toast_temp_1, pg_catalog, public, information_schema, gn_commons, gn_exports, gn_imports, gn_meta, gn_monitoring, gn_permissions, gn_sensitivity, gn_synthese, ref_geo, ref_habitats, ref_nomenclatures, taxonomie, utilisateurs 
    TO gnreader ;
 
-- Autoriser l'utilisateur à faire des sélection sur toutes les sequences (id)
-- Réutiliser la requête précédente et remplacer "TABLES" par "SEQUENCES" :
GRANT SELECT ON ALL SEQUENCES IN SCHEMA 
pg_toast, pg_temp_1, pg_toast_temp_1, pg_catalog, public, information_schema, gn_commons, gn_exports, gn_imports, gn_meta, gn_monitoring, gn_permissions, gn_sensitivity, gn_synthese, ref_geo, ref_habitats, ref_nomenclatures, taxonomie, utilisateurs 
    TO gnreader ;
 
-- Ajouter l'accès en lecture sur les futures tables :
-- Réutiliser la requête précédente et remplacer la première et la dernière ligne :
ALTER DEFAULT PRIVILEGES FOR USER gnreader IN SCHEMA
pg_toast, pg_temp_1, pg_toast_temp_1, pg_catalog, public, information_schema, gn_commons, gn_exports, gn_imports, gn_meta, gn_monitoring, gn_permissions, gn_sensitivity, gn_synthese, ref_geo, ref_habitats, ref_nomenclatures, taxonomie, utilisateurs 
    GRANT SELECT ON TABLES TO gnreader ;
 
-- Ajouter l'accès en lecture sur les futures sequences :
-- Réutiliser la requête précédente et remplacer la dernière ligne :
ALTER DEFAULT PRIVILEGES FOR USER gnreader IN SCHEMA
pg_toast, pg_temp_1, pg_toast_temp_1, pg_catalog, public, information_schema, gn_commons, gn_exports, gn_imports, gn_meta, gn_monitoring, gn_permissions, gn_sensitivity, gn_synthese, ref_geo, ref_habitats, ref_nomenclatures, taxonomie, utilisateurs 
    GRANT SELECT ON SEQUENCES TO gnreader ;

🗑️ Base "gnatlas" (avant Postgresql 14)

  • Se connecter à la base avec un compte superadmin : psql -h "localhost" -U "admin" -d "gnatlas"
  • Exécuter les requêtes suivantes :
    -- Autoriser l'utilisation de tous les schémas de la base :
-- 1. Générer la requête à exécuter
SELECT 'GRANT USAGE ON SCHEMA ' || string_agg(nspname, ', ') || ' TO gnreader ;' FROM pg_namespace ;
 
-- 2. Exécuter la requête obtenue précédemment
GRANT USAGE ON SCHEMA 
pg_toast, pg_temp_1, pg_toast_temp_1, pg_catalog, public, information_schema, taxonomie, synthese, ref_geo, atlas, pg_temp_22, pg_toast_temp_22, pg_temp_24, pg_toast_temp_24, pg_temp_45, pg_toast_temp_45, pg_temp_37, pg_toast_temp_37 
    TO gnreader ;
 
-- Autoriser l'utilisateur à faire des sélection sur toutes les tables de tous les schémas (même principe que ci-dessus)
-- 1. Générer la requête à exécuter
SELECT 'GRANT SELECT ON ALL TABLES IN SCHEMA ' || string_agg(nspname, ', ') || ' TO gnreader ;' FROM pg_namespace ;
 
-- 2. Exécuter la requête obtenue précédemment
GRANT SELECT ON ALL TABLES IN SCHEMA 
pg_toast, pg_temp_1, pg_toast_temp_1, pg_catalog, public, information_schema, taxonomie, synthese, ref_geo, atlas, pg_temp_22, pg_toast_temp_22, pg_temp_24, pg_toast_temp_24, pg_temp_45, pg_toast_temp_45, pg_temp_37, pg_toast_temp_37 
    TO gnreader ;
 
-- Autoriser l'utilisateur à faire des sélection sur toutes les sequences (id)
-- Réutiliser la requête précédente et remplacer "TABLES" par "SEQUENCES" :
GRANT SELECT ON ALL SEQUENCES IN SCHEMA 
pg_toast, pg_temp_1, pg_toast_temp_1, pg_catalog, public, information_schema, taxonomie, synthese, ref_geo, atlas, pg_temp_22, pg_toast_temp_22, pg_temp_24, pg_toast_temp_24, pg_temp_45, pg_toast_temp_45, pg_temp_37, pg_toast_temp_37 
    TO gnreader ;
 
-- Ajouter l'accès en lecture sur les futures tables :
-- Réutiliser la requête précédente et remplacer la première et la dernière ligne :
ALTER DEFAULT PRIVILEGES FOR USER gnreader IN SCHEMA
pg_toast, pg_temp_1, pg_toast_temp_1, pg_catalog, public, information_schema, taxonomie, synthese, ref_geo, atlas, pg_temp_22, pg_toast_temp_22, pg_temp_24, pg_toast_temp_24, pg_temp_45, pg_toast_temp_45, pg_temp_37, pg_toast_temp_37 
    GRANT SELECT ON TABLES TO gnreader ;
 
-- Ajouter l'accès en lecture sur les futures sequences :
-- Réutiliser la requête précédente et remplacer la dernière ligne :
ALTER DEFAULT PRIVILEGES FOR USER gnreader IN SCHEMA
pg_toast, pg_temp_1, pg_toast_temp_1, pg_catalog, public, information_schema, taxonomie, synthese, ref_geo, atlas, pg_temp_22, pg_toast_temp_22, pg_temp_24, pg_toast_temp_24, pg_temp_45, pg_toast_temp_45, pg_temp_37, pg_toast_temp_37 
    GRANT SELECT ON SEQUENCES TO gnreader ;
 
-- Ajouter l'accès aux "foreign data tables" :
GRANT USAGE ON FOREIGN SERVER geonaturedbserver TO gnreader ;
 
GRANT USAGE ON FOREIGN DATA WRAPPER postgres_fdw TO gnreader ;
 
CREATE USER MAPPING FOR gnreader SERVER geonaturedbserver OPTIONS (USER 'gnreader', password '<mot-de-passe-de-gnreader>');

Ajout d'un espace permetant la création de table/VM pour gnreader

gnreader est un utilisateur en lecture seule sur les schémas de GeoNature mais nous lui créons un schéma où il aura un accès en écriture. Cela permettra la création de table ou VM pour des requêtes d'extraction sur les tables de GeoNature. 

-- Création du schéma "playground"
CREATE SCHEMA playground AUTHORIZATION geonatadmin;
 
-- Ajout des droits d'écriture sur schéma à l'utilisateur gnreader
GRANT USAGE, CREATE ON SCHEMA playground TO gnreader;

Modification des autorisations d'accès au serveur Postgresql

  • Modifier le fichier pg_hba.conf : vi /etc/postgresql/12/main/pg_hba.conf
    • Ajouter le contenu suivant : 
      # GeoNature : access by gnreader (read only)
host    geonature2db    gnreader        10.0.1.20/32            scram-sha-256
host    gnatlas         gnreader        10.0.1.20/32            scram-sha-256
  • Recharger la configuration Postgresql : systemctl reload postgresql

Configuration de l'accès avec DBeaver

Vous pouvez configurer votre accès avec DBeaver comme indiqué sur la page spécifique à cet outil.

  • serveurs/installation/db-srv/postgresql-ssh-tunnel.txt
  • Dernière modification : 2023/10/31 09:06
  • de jpmilcent