Recht "CREATE TABLE" entziehen

Hallo,

bisher hatt mein DB-User Adminrechte. Das will ich ändern und
funktioniert auch ganz gut.

Es gibt nun die DB Nutzer "foo" und "foo-admin". Die Datenbank
gehört foo-admin und foo hat SELECT und UPDATE Rechte.

Komischerweise kann foo Tabellen in der Datenbank anlegen, die im
nicht gehört.
Selbst sein explizites REVOKE CREATE ON DATABASE ... ändert nichts.

Mit psql \z sehe ich aber nur Rechte auf Tabellen u.ä.
Wie kann ich die Rechte auf eine Datenbank mit psql, bzw in
den internen Tabellen sehen?

Gruß,
Thomas


--=20
Thomas Guettler, http://www.thomas-guettler.de/
E-Mail: guettli (*) thomas-guettler + de

--=20
Sent via pgsql-de-allgemein mailing list (pgsql-de-allgemein@postgresql.org)
To make changes to your subscription:
http://www.postgresql.org/mailpref/pgsql-de-allgemein

Re: Recht "CREATE TABLE" entziehen

In response to Thomas Guettler :
> Hallo,
>=20
> bisher hatt mein DB-User Adminrechte. Das will ich ändern und
> funktioniert auch ganz gut.
>=20
> Es gibt nun die DB Nutzer "foo" und "foo-admin". Die Datenbank
> gehört foo-admin und foo hat SELECT und UPDATE Rechte.
>=20
> Komischerweise kann foo Tabellen in der Datenbank anlegen, die im
> nicht gehört.
> Selbst sein explizites REVOKE CREATE ON DATABASE ... ändert nichts.

http://archives.postgresql.org/pgsql-general/2002-12/msg0103 8.php

Andreas
--=20
Andreas Kretschmer
Kontakt: Heynitz: 035242/47150, D1: 0160/7141639 (mehr: -> Header)
GnuPG-ID: 0x3FFF606C, privat 0x7F4584DA http://wwwkeys.de.pgp.net

--=20
Sent via pgsql-de-allgemein mailing list (pgsql-de-allgemein@postgresql.o=
rg)
To make changes to your subscription:
http://www.postgresql.org/mailpref/pgsql-de-allgemein

Re: Recht "CREATE TABLE" entziehen

Hallo,

danke Andreas! Ich habe nun die Lösung gefunden:

foo-admin# \dn+ Zeigt mir die Schemas und die Zugriffsrechte

Erstellen neuer Objekte verbieten:
foo-admin# revoke create on schema public from PUBLIC;
Es wundert mich, dass per Default jeder neue Tabellen anlegen kann.

foo=3D> create table foo();
ERROR: permission denied for schema public
--> Super, genau das was ich wollte.

Gruß,
Thomas

PS: Interessant wäre es jetzt noch, in welchen internen Tabellen (pg_...)
die GRANT und REVOKE Veränderungen gespeichert werden....
google ... :
http://developer.postgresql.org/pgdocs/postgres/catalogs-ove rview.html
--> pg_namespace

A. Kretschmer schrieb:
> In response to Thomas Guettler :
>> Hallo,
>>
>> bisher hatt mein DB-User Adminrechte. Das will ich ändern und
>> funktioniert auch ganz gut.
>>
>> Es gibt nun die DB Nutzer "foo" und "foo-admin". Die Datenbank
>> gehört foo-admin und foo hat SELECT und UPDATE Rechte.
>>
>> Komischerweise kann foo Tabellen in der Datenbank anlegen, die im
>> nicht gehört.
>> Selbst sein explizites REVOKE CREATE ON DATABASE ... ändert nichts.
>=20
> http://archives.postgresql.org/pgsql-general/2002-12/msg0103 8.php
>=20
> Andreas

--=20
Thomas Guettler, http://www.thomas-guettler.de/
E-Mail: guettli (*) thomas-guettler + de

--=20
Sent via pgsql-de-allgemein mailing list (pgsql-de-allgemein@postgresql.org)
To make changes to your subscription:
http://www.postgresql.org/mailpref/pgsql-de-allgemein

Re: Recht "CREATE TABLE" entziehen

Hallo,

On Fri, 05 Jun 2009 10:57:08 +0200 Thomas Guettler wrote:

> Es wundert mich, dass per Default jeder neue Tabellen anlegen kann.

Sonst wäre ein neues Schema erst mal recht nutzlos bzw. man müsste
immer dran denken, zusätzlich auch noch das USAGE-Recht zu vergeben.


> PS: Interessant wäre es jetzt noch, in welchen internen Tabellen (pg=
_...)
> die GRANT und REVOKE Veränderungen gespeichert werden....
> google ... :
> http://developer.postgresql.org/pgdocs/postgres/catalogs-ove rview.html
> --> pg_namespace

psql mit den Optionen -e und -E starten und schauen, was bei \dn+
herauskommt ;-)


Schönes Wochenende

--=20
Andreas 'ads' Scherbaum
German PostgreSQL User Group
European PostgreSQL User Group - Board of Directors
Volunteer Regional Contact, Germany - PostgreSQL Project

PGDay.eu 2009 in Paris, Nov. 6/7, http://www.pgday.eu/

--=20
Sent via pgsql-de-allgemein mailing list (pgsql-de-allgemein@postgresql.org)
To make changes to your subscription:
http://www.postgresql.org/mailpref/pgsql-de-allgemein