Securité d'acces a la BDD en multiposte

Un conseil pour l'installation? Un problème technique pour installer OpenConcerto?
Répondre
grousseau
Messages : 5
Enregistré le : jeu. mai 24, 2018 8:09 am

jeu. mai 24, 2018 9:41 am

Bonjour,

j'ai installé openconcerto en multiposte via un serveur linux pour la bdd postgres.

j'ai donc creé l'utilisateur openconcerto/openconcerto comme indiqué dans la doc.

Ma question est la suivante :

Pour améliorer la sécurité, peux on modifier le login/password utilisé pour se connecté a la base OpenConcerto ? En effet l'utilisation de connexion via l'utilisateur openconcerto/openconcerto rend l'accès a la base de donnée vraiment vulnérable.

Merci,
Guillaume
tvans
Messages : 52
Enregistré le : mar. oct. 04, 2016 2:28 pm

jeu. mai 24, 2018 4:01 pm

bonjour,
sans modifier le code c pas possible.
la seule solution 'simple' qui vous reste est de modifier la conf de postgresql pour n'autoriser qu'une liste blanche d'IP connus.
doc
Messages : 160
Enregistré le : dim. févr. 26, 2017 4:39 pm

jeu. mai 24, 2018 6:24 pm

Bonjour,

Si ça peux aider, dans mon cas je me connecte en utilisant un tunnel SSH en utilisant un utilisateur n'ayant aucun droits sur le serveur (hormis celui de se connecter et déconnecter) et le tout avec un VPN.
grousseau
Messages : 5
Enregistré le : jeu. mai 24, 2018 8:09 am

mar. mai 29, 2018 10:11 am

Bonjour

Merci pour ces retours qui me surprennent un peu. La sécurisation d'un ERP n'est pas a négliger vu les données sensibles qu'il contient en général. Tout utilisateur qui a accès un une machine contenant une base de donnée OC peut se connecter à cette base facilement. Bizarre de ne pas intégrer la possibilité de changer ce login/password.

Cdt
tvans
Messages : 52
Enregistré le : mar. oct. 04, 2016 2:28 pm

mar. mai 29, 2018 10:32 am

bonjour
cela peut se comprendre, c'est un logiciel comptabilité, on suppose donc :
- sécurisation bureau comptable (porte qu'on peut fermer à clé, clé dispo pour les seuls concernés)
- sécurisation ordi comptable (mot de passe connu des seuls intéressés)
- sécurisation logiciel comptable (sécurisation par mot de passe mais accès BD un peu trop simple car en dur dans fichier)

au final, lorsque le malveillant a accédé à la BD, il a déjà accédé à tout avant.
quand au fait que la comptable ai accès au identifiant BD, ben ça lui change pas sa vie.

lol désolé pour cette tirade limite inutile, neurones en surchauffe, refroidissement avec des comments lights...

NB : code source disponible, sécurisation 'maison' tout à fait possible + liste blanche postgresql + VPN + coffre-fort ?
grousseau
Messages : 5
Enregistré le : jeu. mai 24, 2018 8:09 am

mar. mai 29, 2018 11:04 am

Oui bien sur je suis d'accord avec tout cela. C'est juste que l'effort nécessaire pour rajouter cette fonctionnalité me semble minime (au pire un paramètre dans un fichier de conf) par rapport au gain en sécurité qui en découle.
Je rajouterai que cette faille rend caduc la gestion de droit dans le soft car il suffi d’être un peu aguerri pour à partir d'un profil avec peux de droit pouvoir accéder à toute la base. Je prend l’exemple du commercial qui ne devrait pas pouvoir acceder aux tables liées aux salaires par exemple.

Voila c'est tout ce que je voulais dire. Juste une critique positive !
tvans
Messages : 52
Enregistré le : mar. oct. 04, 2016 2:28 pm

mar. mai 29, 2018 12:19 pm

pardon si cela a été mal perçu
je voulais juste souligner que à l'origine c un logiciel de compta qui s'est étoffé de plein de fonction qui le fait ressembler à un ERP.
et que du à ce que tu dis et à d'autres choses, on ne devrait pas l'utiliser comme un ERP en l'état.
du coup modification maison, où comme le doc, vpn.
En tout cas, pour un usage par des tiers non comptable (commercial, autres) il faut y apporter des modifications.
Et que tout le monde peut le faire car le code est ouvert.
voilou, ;)
Avatar du membre
guillaume
Messages : 2040
Enregistré le : ven. févr. 11, 2011 7:15 pm

mar. mai 29, 2018 3:08 pm

grousseau a écrit :
mar. mai 29, 2018 11:04 am
Oui bien sur je suis d'accord avec tout cela. C'est juste que l'effort nécessaire pour rajouter cette fonctionnalité me semble minime (au pire un paramètre dans un fichier de conf) par rapport au gain en sécurité qui en découle.
Je rajouterai que cette faille rend caduc la gestion de droit dans le soft car il suffi d’être un peu aguerri pour à partir d'un profil avec peux de droit pouvoir accéder à toute la base. Je prend l’exemple du commercial qui ne devrait pas pouvoir acceder aux tables liées aux salaires par exemple.

Voila c'est tout ce que je voulais dire. Juste une critique positive !
OpenConcerto intègre la possibilité de sécurisé les flux à travers un tunnel SSL/TLS.
D'une manière ou d'une autre, vous aurez toujours un paramétrage qui sera présent sur le poste.

Une autre solution est de sécurisé le poste (dossier personnel crypté par exemple) et d'isoler les flux réseau avec des VLANs.

Cordialement,
Directeur technique d'OpenConcerto qui dans son temps libre s'occupe du forum.
Pour une assistance pro, nous sommes joignables à ILM Informatique contre quelques jetons.
Pensez aussi à lire le manuel !
Répondre