人大金仓数据库KingbaseES 安全功能入门学习

这篇具有很好参考价值的文章主要介绍了人大金仓数据库KingbaseES 安全功能入门学习。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

关键字:

安全、身份鉴别、用户管理、审计

一、安装前准备

1.1 软件环境要求

金仓数据库管理系统KingbaseES V8.0支持微软Windows 7、Windows XP、Windows 2003、 Windows 2008等32位及64位发行版本。

1.2 安装包准备

准备需要安装的金仓数据库管理系统KingbaseES安装程序和jdk1.8及以上的jdk环境。

1.3 注意事项

1.3.1 安装用户

在安装金仓数据库管理系统KingbaseES V8.0时,安装用户对于安装路径需有“读”、“写”、“执行”的权限。Windows 10及以上的操作系统,需要使用管理员身份安装。

1.3.2 安装目录

金仓数据库管理系统KingbaseES安装过程中有默认的安装目录C:\Program Files\Kingbase\ES\V8。

安全功能入门学习

一、身份鉴别

1.1密码复杂度检查

1.功能打开:

在data/kingbase.conf的shared_preload_libraries 中增加passwordcheck ,重启数据库

system创建extension:create extension passwordcheck;

system打开功能:

alter system set passwordcheck.enable=on; 
select sys_reload_conf(); 

2.参数:

1).passwordcheck.password_length :口令最小长度,取值范围[8,63],默认值8

2).passwordcheck.password_condition_digit:口令至少包含几个数字,取值范围[2,61],默认值2

3).passwordcheck.password_condition_letter:口令至少包含几个字母,取值范围[2,61],默认值2

4).passwordcheck.password_condition_punct:口令至少包含几个特殊字符,取值范围[0,59],默认值0,其中特殊符号为除空白符、英文字母、单引号和数字外的所有可见字符

3.功能关闭:

1.system直接关闭:

a)Alter system set passwordcheck.enable=off;

b)Select sys_reload_conf();

2.system执行:

a)drop extension passwordcheck;

b)shared_preload_libraries 中删除passwordcheck ,重启数据库

尝试了一下去掉拓展passwordcheck后,设置密码:

kingbase,金仓数据库,kingbase,数据库,人大金仓,DBA

修改数据库密码:ALTER USER test PASSWORD '123';

1.2密码有效期

1.功能打开:

1.在kingbase.conf的shared_preload_libraries 中增加identity_pwdexp ,重启数据库

2.system创建extension:create extension identity_pwdexp;

2.参数:

1.identity_pwdexp.password_change_interval :密码有效期,单位是天,取值范围[0,INT_MAX],默认值7,0是关闭该功能无限制

设置有效期0,失败,自动设置为30

2.identity_pwdexp.max_password_change_interval :最大密码有效期,单位是天,取值范围[1,INT_MAX],默认值30,此参数用于限制密码有效期的设置范围,当设置的密码有效期大于最大密码有效期时,系统会报错提示。

设置最大值intmax2147483647成功

kingbase,金仓数据库,kingbase,数据库,人大金仓,DBA

设置有限期1,最大值1失败 设置有限期30,最大值30成功

kingbase,金仓数据库,kingbase,数据库,人大金仓,DBA

3.功能关闭:

1.system直接关闭:

a)Alter system set identity_pwdexp.password_change_interval =0;

b)Select sys_reload_conf();

2.system执行:

a)drop extension identity_pwdexp;

b)从shared_preload_libraries 中删除identity_pwdexp ,重启数据库

1.3用户登录(异常登录和解除锁定)

1.3.1异常登录

1.功能打开:

1.在kingbase.conf的shared_preload_libraries 中增加sys_audlog ,重启数据库

2.system创建extension:create extension sys_audlog;

2.参数:

1.sys_audlog.user_logonlog_level :取值范围[0,2],默认值0,0是不记录任何用户登录信息,1表示只记录用户登录成功信息,2表示记录用户成功失败信息

2.sys_audlog.error_user_connect_times :允许用户连续登录失败的最大次数,用户登录失败的次数大于超过该值,用户自动锁定,取值范围[0,INT_MAX],默认值0

3.sys_audlog.error_user_connect_interval:用户被锁定时间,若用户被锁定的时间超过了该参数,则该用户可自动解锁,单位是分钟,取值范围[0,INT_MAX],默认值0 ,即0时关闭自动解锁功能,需手动解锁。

4.sys_audlog.max_error_user_connect_times:用户登录失败次数的最大值界限, sys_audlog.error_user_connect_times的最大值,取值范围[0,INT_MAX],默认值2147483647

kingbase,金仓数据库,kingbase,数据库,人大金仓,DBA

3.功能关闭:

1.system直接关闭:

a)Alter system set sys_audlog.user_logonlog_level =0;

b)Alter system set sys_audlog.error_user_connect_times =0;

c)Select sys_reload_conf();

2.system执行:

a)drop extension sys_audlog;

从shared_preload_libraries 中删除sys_audlog ,重启数据库。

1.3.2解除锁定

1.超过时间间隔自动解除用户封锁。

2.用户可由具有alter user 权限的用户通过SQL 语句进行手动解锁,解锁后用户登录的信息自动删除。语句: alter user username with login;

注意:

  1. 超过时间间隔后自动解锁用户需要登录成功,若达到解锁时间后重新登录且再次失败,用户会继续锁定。
  1. 登录时若不加-W 时会自动进行一次不带密码的登录尝试,因此会多增加一次失败记录,且在解锁用户时使用不加-W 的方式登录,会导致再次被锁定,因此在解锁用户时注意加-W 参数进行登录尝试。

1.3.3 system删除登录信息

1.通过时间:SYS_AUDLOG.SYS_DEL_USER_LOGONLOG_BEFORE_DAYS(int)

2.通过用户名:SYS_AUDLOG.SYS_DEL_USER_LOGONLOG_BY_NAME(cstring);

3.通过IP:SYS_AUDLOG.SYS_DEL_USER_LOGONLOG_BY_IP(cstring)

3.查询登录信息:

1.System通过系统表sys_audit_userlog,查看所有用户的登录信息

kingbase,金仓数据库,kingbase,数据库,人大金仓,DBA

2.普通用户通过视查看本用户的登录信息

kingbase,金仓数据库,kingbase,数据库,人大金仓,DBA

普通用户查看系统表可以看见所有用户的登录信息

kingbase,金仓数据库,kingbase,数据库,人大金仓,DBA

普通用户查看系统视图结果显示关系不存在,无对应视图。

kingbase,金仓数据库,kingbase,数据库,人大金仓,DBA

关于-W加错误密码

在配置文件中将本地修改为trust,但在登录数据库时使用-W加错误密码,后需要输入正确密码,并且之后切换为sso、sao时需要输入密码

在配置文件中将本地修改为trust,但在登录数据库时使用-W加正确密码,后不需要输入正确密码,并且之后切换为sso、sao时也不需要输入密码

1.4密码历史管理

口令的历史检查是由数据库管理员对初次设定的口令或更改过的口令使用天数进行设置后,在修改用户口令时,自动对口令已使用天数进行相关方面的检查。如果口令不满足指定的条件,那么更改口令将不成功。

1.功能打开

1.在kingbase.conf的shared_preload_libraries 中增加passwordhistory ,重启数据库

2.system创建extension:create extension passwordhistory;

3.system打开功能:

a)alter system set passwordhistory.enable=on;

b)sys_reload_conf();

2.参数

passwordhistory.password_time:设置口令历史天数,默认0,0是永久限制

3.功能关闭

1.system直接关闭:

a)alter system set passwordhistory.enable =off;

b)select sys_reload_conf();

2.system执行:

a)drop extension passwordhistory;

b)从shared_preload_libraries 中删除passwordhistory,重启数据库

二、用户管理

2.1三权分立

a. 系统管理员(SYSTEM)

主要负责执行数据库日常管理的各种操作和自主存取控制。(数据库管理员用户不能创建和修改安全员和审计员,也不能将一个普通用户修改为安全员或者审计员)

b. 安全管理员(SSO)

主要负责强制访问规则的制定和管理,监督审计管理员和普通用户的操作,不能创建和操作普通对象。(安全管理员只能创建和修改安全员并且不能将安全员修改为非安全员)

c. 审计管理员(SAO)

主要负责数据库的审计,监督系统管理员和安全管理员的操作,不能创建和操作普通对象。(审计管理员只能创建和修改审计员并且不能将审计员修改为非审计员。)

创建超级用户,显示不能加参数

kingbase,金仓数据库,kingbase,数据库,人大金仓,DBA

创建角色:

CREATE ROLE name LOGIN;
 CREATE USER name;
 CREATE USER name ACCOUNT UNLOCK;

创建超级管理员:

CREATE ROLE name SUPERUSER;

注意当开启sso_update后,上述第一句第3、4句不可用,只能先CREATE USER name;创建角色,再alter user 【username】 with superuser;修改权限。

2.2自主访问控制和强制访问控制的区别:

自主访问控制 强制访问控制
简称 DAC MAC
访问控制对象 由属主自己(或数据库管理员)决定是否将自己客体的访问权或部分访问权授予其他主体 由数据库安全员指定主体对客体的访问范围。
访问控制客体 TABLE、VIEW、SEQUENCE、DATABASE、TABLESPACE、PROCEDURE、FUNCTION等 强制访问控制的客体是表中的数据
总结 先进行自主访问控制判断,之后进行强制访问控制判断,只有都通过,才能访问客体

三、加密

3.1储存加密-钱包

1.使用前提:

在kingbase.conf的shared_preload_libraries 中增加sysencrypt,并重启数据库

使用说明:创建加密对象前需要打开钱包,钱包默认密码为123456

打开钱包:OPENUP WALLET WITH PASSWORD “123456”;

关闭钱包:CLOSEUP WALLET WITH PASSWORD “123456”;

2.支持的加密对象:

•表空间加密:

用户不指定密钥

CREATE TABLESPACE ENC_TS_NOKEY LOCATION '@testtablespace@' with (encryption = true);
CREATE TABLE TEST_ENC_NOKEY(ID INT, NAME VARCHAR(100)) TABLESPACE ENC_TS_NOKEY;

用户可以指定密钥,通过enckey option来指定加密表空间的密钥

CREATE TABLESPACE ENC_TS_KEY LOCATION '@testtablespace@' with (encryption = true, enckey = 'k1ngb2se');
CREATE TABLE TEST_ENC_KEY(ID INT, NAME VARCHAR(100)) TABLESPACE ENC_TS_KEY;

•列加密

CREATE TABLE TEST_COL(ID INT ENCRYPTED, NAME VARCHAR(16) ENCRYPTED);

•备份加密

sys_dump/sys_store使用 –K 指定加密密钥,表示启用备份加密,加密算法是sm4

3.使用步骤

打开钱包 kingbase,金仓数据库,kingbase,数据库,人大金仓,DBA

用户不指定密钥时创建表空间和表

kingbase,金仓数据库,kingbase,数据库,人大金仓,DBA

用户指定密钥时创建表空间和表:

kingbase,金仓数据库,kingbase,数据库,人大金仓,DBAkingbase,金仓数据库,kingbase,数据库,人大金仓,DBA

列加密

kingbase,金仓数据库,kingbase,数据库,人大金仓,DBA

4.修改钱包密码:

手册:

kingbase,金仓数据库,kingbase,数据库,人大金仓,DBA

Sso修改失败

kingbase,金仓数据库,kingbase,数据库,人大金仓,DBA

System修改成功

kingbase,金仓数据库,kingbase,数据库,人大金仓,DBA

四、审计

4.1分类

1.服务器事件审计:

数据库服务器的启动、数据库服务器的停止、数据库服务器配 置文件的重新加载、用户登录、用户登出。简称为:服务器级审计或服务器审计

kingbase,金仓数据库,kingbase,数据库,人大金仓,DBA

2.语句级审计:

包括 DBMS 提供的 DDL、DML、DQL、DCL、TCL 等语句引发的事件

3.模式对象审计:

指在某个确定的模式对象上进行 SELECT 或 DML 操作时引发的事 件进行审计。模式对象包括表、视图、物化视图、过程、函数、序列。模式对象不包括有依附关系的对象,如 依附于表的索引、约束、触发器、分区表等。

新建语句审计动作

kingbase,金仓数据库,kingbase,数据库,人大金仓,DBA

其中用户必须设置

查询动作id后删除

kingbase,金仓数据库,kingbase,数据库,人大金仓,DBA

新建对象审计:

kingbase,金仓数据库,kingbase,数据库,人大金仓,DBA

其中模式必须设置。

4.2审计入侵检测

①参数 sysaudit.ids 设置为true时开启入侵检测功能

②通过函数create_ids_rule和drop_ids_rule启用和删除入侵规则

③通过show_ids_rules()查看当前检测规则

④审计管理员sao可在数据库security中,查看入侵检测日志sysaudit_ids_log和检测结果sysaudit_ids_result

⑤参数sysaudit.ids_mail_enable=true开启邮件提醒

4.3审计记录转储

⑥参数 sysaudit.enable_auto_dump_auditlog=true/false开启/关闭自动转储

⑦通过函数sysaudit.dump_auditlog和sysaudit.restore_auditlog转储和恢复审计日志

⑧通过sysaudit.show_auditlog_dump_file函数查看转储文件

更多信息,参见https://help.kingbase.com.cn/v8/index.html文章来源地址https://www.toymoban.com/news/detail-753160.html

到了这里,关于人大金仓数据库KingbaseES 安全功能入门学习的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • CYQ.Data 支持 KingbaseES人大金仓数据库

    KingbaseES是一种关系型数据库管理系统,也被称为人大金仓数据库。KingbaseES 是北京人大金仓信息技术股份有限公司研发的,具有自主知识产权的通用数据库产品。 该产品面向事务处理类应用,兼顾各类数据分析类应用,可用做管理信息系统、业务及生产系统、决策支持系统、

    2024年03月10日
    浏览(78)
  • 【KingbaseES】银河麒麟V10 ARM64架构_安装人大金仓数据库KingbaseES_V8R6(CentOS8)

    🦄 个人主页——🎐开着拖拉机回家_Linux,Java基础学习,大数据运维-CSDN博客 🎐✨🍁 🪁🍁 希望本文能够给您带来一定的帮助🌸文章粗浅,敬请批评指正!🍁🐥 🪁🍁🪁🍁🪁🍁🪁🍁 🪁🍁🪁🍁🪁🍁🪁 🪁🍁🪁🍁🪁🍁🪁🍁🪁🍁🪁🍁 感谢点赞和关注 ,每天进步

    2024年02月08日
    浏览(50)
  • 金仓数据库KingbaseES安全指南--3.1. 用户管理

    目录 3.1.1. 关于用户安全 3.1.2. 预定义管理用户 3.1.3. 创建用户 3.1.4. 修改用户 3.1.5. 删除用户 3.1.6. 用户资源限制 3.1.7. 用户的数据字典视图 3.1.1. 关于用户安全 您可以通过设置口令和指定特殊限制来保护用户帐户。 KingbaseES 数据库初始化完成后,会创建三个用户:数据库

    2024年02月06日
    浏览(60)
  • ​ 金仓数据库KingbaseES数据库如何启停和重启

    数据库、启动数据库、停止数据库、重启数据库 在访问数据库之前,必须启动数据库服务器。可通过命令: ps -ef|grep kingbase 查看数据库服务器当前是否处于启动状态。如下图所示,kingbase进程存在且为正常开启状态,否则数据库服务器未启动。蓝色标注为主进程。 通过king

    2024年02月05日
    浏览(51)
  • 人大金仓分析型数据库配置数据库参数

    目录 前言 设置配置参数 设置本地配置参数 设置master配置参数  设置系统级别参数  设置数据库级别参数  设置角色级别参数  设置会话级别参数  查看服务器配置参数设置          据库的配置文件postgresql.conf 位于数据库实例的数据目录之下。master和每一个 实例都有自

    2024年02月09日
    浏览(55)
  • [开发|数据库] java程序人大金仓数据库适配笔记

    需要去人大金仓https://www.kingbase.com.cn/qd/index.htm下载linux版iso文件和授权文件(license-企业版-90天)。 iso文件需要挂载在指定目录下。 参考:(https://www.cnblogs.com/bluestorm/p/16941812.html)。 人大金仓数据库安装过程中出现乱码/内容不显示是因为jdk版本不匹配,通过asdf更换java版本为

    2024年02月12日
    浏览(49)
  • 麒麟操作系统安装人大金仓数据库

    硬件:内存512M以上,磁盘空间10G以上 软件:主流Linux操作系统,本机使用kylin-v10 安装包准备:官网下载数据库文件镜像以及授权文件 https://www.kingbase.com.cn/rjcxxz/index.htm 把 /etc/systemd/logind.conf 文件中的 RemoveIPC=no 设置,再执行一下指令 注意:创建安装系统用户 kingbase 之后,如

    2023年04月20日
    浏览(61)
  • 人大金仓分析型数据库备份和恢复(一)

    目录 前言 备份和恢复概述 并行备份 非并行备份 需求和限制         定期执行备份能确保在数据损坏或者系统失效发生时能恢复数据或者重建数据库系统。用户还可以使用备份从一个数据库系统迁移数据到另一个数据库系统。         数据库支持并行和非并行的方法

    2024年02月09日
    浏览(49)
  • 人大金仓分析型数据库使用之创建和管理表

    目录 前言 一、创建表 1、选择列的数据类型 2、设置表和列约束 3、选择表分布策略         数据库的表与任何一种关系型数据库中的表类似,不过其表中的行被分布在系统中的不同实例上。 当用户创建一个表时,用户会指定该表的分布策略。                 

    2024年02月09日
    浏览(49)
  • 金仓数据库 KingbaseES V8 GIS数据迁移方案(3. 基于ArcGIS平台的数据迁移到KES)

    本章主要介绍基于ArcGIS/GeoScene 平台的两种数据迁移方案,首先是基于KDTS的迁移,主要应用在数据图层较多且数据体量巨大的情况,另一种为利用ArcGIS/GeoScene 平台的异构数据库迁移,主要是一些少量图层或者小数据量的迁移需求。 3.1.1. KDTS迁移步骤 下面讲述通过KDTS工具完成

    2024年02月13日
    浏览(64)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包