[Talk-de] Wie Kartenbereich aus API-Export rendern

[Manuel Reimer]

Frederik Ramm wrote:
> Der Datenbank-Systemuser ist, das sollte hinzugefuegt werden, aus
> Unix-Sicht auch kein privilegierter Account, d.h. wer auf die Postgres
> draufkommt, der kann Datenbanken anlegen und loeschen, aber das wars.
> Besonders viel Geheimnisse wird er nicht ausspionieren koennen aus der
> OSM-Datenbank.

Stimmt. Worst-Case könnte jemand, der Zugriff bekommt, Code im Kontext dieses 
Users ausführen. Das mögliche Risiko ist also klar abgegrenzt.

Hätte mich wohl doch noch etwas tiefer in das Thema einlesen sollen, bevor ich 
gepostet habe...

Dennoch erscheint es mir nicht ganz sinnlos zu sein, den Datenbankzugriff auf 
den User zu beschränken, mit dem man auch arbeitet. Ein User "ntp" oder "ftp" 
hat auch nichts an einer lokalen Datenbank verloren.

> (Die Wiki-Anleitung erlaubt uebrigens nur *dann* jedem das Einloggen als
> Postgres-User, wenn davor *keine* Extra-Zeile der Form "local postgres
> all ident" oder "local postgres all sameuser" ist, denn die erste
> passende Zeile "gewinnt" im pg_hba.conf.)
>
>> Genau das habe ich letztlich befürchtet: Um den Kram sicher in Betrieb
>> zu bekommen, muss ich mich jetzt letztlich in jedes der Programme
>> einarbeiten um zumindest grundlegend verstehen zu können *was* ich da
>> eigentlich konfiguriere.
>
> Was ist denn Dein Bedrohungsszenario, gegen das Du "sicher" sein willst?

Ich weiß einfach ganz gerne was ich tue, wenn ich etwas neues einrichte.

Zumindest interessiert es mich durchaus was gewisse in Anleitungen genannte 
Parameter exakt für Auswirkungen haben.

Gruß

Manuel