简介
本实验适用于 openGauss数据库,通过该实验可以顺利完成对数据库用户权限的控制及各种审计。
内容描述
本实验主要内容为用户权限控制(包括用户、角色、权限的授予、权限的回收)和各审计。
前置条件
openGauss数据库安全实验需要掌握openGauss数据库的基本操作和SQL语法,openGauss数据库支持SQL2003标准语法,数据库基本操作参见附录一。
实验环境说明
●组网说明
本实验环境为华为云 ECS 服务器 + openGauss数据库。
● 设备介绍
为了满足数据库原理与实践课程实验需要,建议每套实验环境采用以下配置:
设备名称、型号与版本的对应关系如下:
设备明细表
实验概览

1 用户权限控制
1.1 实验介绍
1.1.1 关于本实验
本实验主要描述用户的创建管理、角色的创建管理、Schema的创建管理、用户权限设置、用户安全策略设置。
1.1.2 实验目的
●掌握用户、角色、Schema的创建及管理;
●掌握用户权限的授予各回收;
● 掌握用户安全策略如何设置。
1.2 用户
通过CREATE USER创建的用户,默认具有LOGIN权限;
通过CREATE USER创建用户的同时系统会在执行该命令的数据库中,为该用户创建一个同名的SCHEMA;其他数据库中,则不自动创建同名的SCHEMA;用户可使用CREATE SCHEMA命令,分别在其他数据库中,为该用户创建同名SCHEMA。
1.2.1 创建、修改、删除用户
步骤 1 启动服务器,再使用gsql客户端以管理员用户身份连接postgres数据库,假设端口号为26000。
步骤 2 连接数据库后,进入SQL命令界面。创建用户jim,登录密码为Bigdata@123。
说明:密码规则如下:
● 密码默认不少于8个字符;
● 不能与用户名及用户名倒序相同;
● 至少包含大写字母(A-Z),小写字母(a-z),数字(0-9),非字母数字字符(限定为~!@#$%^&*()-_=+|[{}];:,<.>/?)四类字符中的三类字符;
● 创建用户时,应当使用双引号或单引号将用户密码括起来。
步骤 3 查看用户列表。
步骤 4 创建有“创建数据库”权限的用户,则需要加CREATEDB关键字。
步骤 5 将用户jim的登录密码由Bigdata@123修改为Abcd@123。
步骤 6 为用户jim追加有创建角色的CREATEROLE权限。
步骤 7 锁定jim帐户。
步骤 8 解锁jim帐户。
步骤 9 删除用户。
步骤 10 退出数据库。
1.3 角色
角色是拥有数据库对象和权限的实体。在不同的环境中角色可以认为是一个用户,一个组或者兼顾两者。
在数据库中添加一个新角色,角色无登录权限。
创建角色的用户必须具备CREATE ROLE的权限或者是系统管理员。
1.3.1 创建、修改、删除角色
步骤 1 启动服务器,再使用gsql客户端以管理员用户身份连接postgres数据库,假设端口号为26000。
步骤 2 创建一个角色,名为manager,密码为Bigdata@123。
步骤 3 创建一个角色,从2021年1月1日开始生效,到2021年6月1日失效。
步骤 4 修改角色manager的密码为abcd@123。
步骤 5 修改角色manager为系统管理员。
步骤 6 删除角色manager。
步骤 7 查看角色。
步骤 8 退出数据库
1.4 Schema
Schema又称作模式。通过管理Schema,允许多个用户使用同一数据库而不相互干扰。
每个数据库包含一个或多个Schema。
在数据库创建用户时,系统会自动帮助用户创建一个同名Schema。
1.4.1 创建、修改、删除Schema
步骤 1 启动服务器,再使用gsql客户端以管理员用户身份连接postgres数据库,假设端口号为26000。
步骤 2 创建模式ds。
步骤 3 将当前模式ds更名为ds_new。
步骤 4 创建用户jack。
步骤 5 将DS_NEW的所有者修改为jack。
步骤 6 查看Schema所有者。
步骤 7 删除用户jack和模式ds_new。
步骤 8 退出数据库
1.5 用户权限设置及回收
使用GRANT命令进行用户授权包括以下三种场景:
● 将系统权限授权给角色或用户。
● 将数据库对象授权给角色或用户。
● 将角色或用户的权限授权给其他角色或用户。
1.5.1 将系统权限授权给用户或者角色
步骤 1 启动服务器,再使用gsql客户端以管理员用户身份连接postgres数据库,假设端口号为26000。
步骤 2 创建名为joe的用户,并将sysadmin权限授权给joe。
1.5.2 将数据库对象授权给角色或用户
步骤 1 撤销joe用户的sysadmin权限,然后创建tpcds模式,并给tpcds模式下创建一张reason表。
步骤 2 将模式tpcds的使用权限和表tpcds.reason的所有权限授权给用户joe。
授权成功后,joe用户就拥有了tpcds.reason表的所有权限,包括增删改查等权限。
步骤 3 将tpcds.reason表中r_reason_sk、r_reason_id、r_reason_desc列的查询权限,r_reason_desc的更新权限授权给joe。
步骤 4 将数据库postgres的连接权限授权给用户joe,并给予其在postgres中创建schema的权限,而且允许joe将此权限授权给其他用户。
步骤 5 创建角色tpcds_manager,将模式tpcds的访问权限授权给角色tpcds_manager,并授予该角色在tpcds下创建对象的权限,不允许该角色中的用户将权限授权给其人。
1.5.3 将用户或者角色的权限授权给其他用户或角色
步骤 1 创建角色manager,将joe的权限授权给manager,并允许该角色将权限授权给其他人。
步骤 2 创建用户senior_manager,将用户manager的权限授权给该用户。
1.5.4 权限回收
步骤 1 撤销权限,并清理用户。
步骤 2 退出数据库
注意:实验完成后请尽量清理本实验的对象,以免影响与其它实验产生冲突。
1.6 安全策略设置
为了保证帐户安全,如果用户输入密码次数超过一定次数(failed_login_attempts),系统将自动锁定该帐户,默认值为10。次数设置越小越安全,但是在使用过程中会带来不便。
当帐户被锁定时间超过设定值(password_lock_time),则当前帐户自动解锁,默认值为1天。时间设置越长越安全,但是在使用过程中会带来不便。
1.6.1 设置账户安全策略
步骤 1 启动服务器,再使用gsql客户端以管理员用户身份连接postgres数据库,假设端口号为26000。
步骤 2 配置failed_login_attempts参数。
查看已配置的参数。
如果显示结果不为10,执行“\q”命令退出数据库。
然后在操作系统 omm 用户下执行如下命令设置成默认值10。
注意:/gaussdb/data/dbnode 指的是数据目录,要根据自己实际情况调整。
比如数据目录/gaussdb/data/db1,执行结果如下。
步骤 3 配置password_lock_time参数。
查看已配置的参数。
如果显示结果不为1,执行“\q”命令退出数据库。
然后在操作系统 omm 用户下执行如下命令设置成默认值1。
执行结果如下:
1.6.2 设置账号有效期
创建新用户时,需要限制用户的操作期限(有效开始时间和有效结束时间)。
不在有效操作期内的用户需要重新设定帐号的有效操作期。
步骤 1 启动服务器,再使用gsql客户端以管理员用户身份连接postgres数据库,假设端口号为26000。
步骤 2 创建用户并制定用户的有效开始时间和有效结束时间。
步骤 3 重新设定帐号的有效期。
步骤 4 退出数据库。
1.6.3 设置密码安全策略
用户密码存储在系统表pg_authid中,为防止用户密码泄露,openGauss对用户密码可进行加密存储、密码复杂度设置、密码重用天数设置、密码有效期限设置等。
步骤 1 启动服务器,再使用gsql客户端以管理员用户身份连接postgres数据库,假设端口号为26000。
步骤 2 配置的加密算法。
查看已配置的参数。
如果显示结果为0或1,执行“\q”命令退出数据库。
然后在操作系统 omm 用户下执行如下命令将其设置为安全的加密算法。
注意说明:
● 当参数password_encryption_type设置为0时,表示采用md5方式对密码加密。md5为不安全的加密算法,不建议使用。
● 当参数password_encryption_type设置为1时,表示采用sha256和md5方式对密码加密。其中包含md5为不安全的加密算法,不建议使用。
● 当参数password_encryption_type设置为2时,表示采用sha256方式对密码加密,为默认配置。
步骤 3 配置密码安全参数。
查看已配置的参数。
如果显示结果不为1,执行“\q”命令退出数据库。
然后在操作系统 omm下执行如下命令设置成默认值1。
注意说明:
● 参数password_policy设置为1时表示采用密码复杂度校验,默认值;
● 参数password_policy设置为0时表示不采用任何密码复杂度校验,设置为0会存在安全风险,不建议设置为0,即使需要设置也要将所有openGauss节点中的password_policy都设置为0才能生效。
步骤 4 配置密码重用。
查看不可重用天数已配置的参数。
如果显示结果不为60,执行“\q”命令退出数据库。
然后在操作系统 omm下执行如下命令设置成默认值60。
查看不可重用次数已配置的参数。
如果显示结果不为0,执行“\q”命令退出数据库。
然后在操作系统 omm下执行如下命令设置成默认值0。
注意说明:
● 不可重用天数默认值为60天,不可重用次数默认值是0;
● 这两个参数值越大越安全,但是在使用过程中会带来不便,其默认值符合安全标准,用户可以根据需要重新设置参数,提高安全等级。
步骤 5 配置密码有效期限。
数据库用户的密码都有密码有效期(password_effect_time),当达到密码到期提醒天数(password_notify_time)时,系统会在用户登录数据库时提示用户修改密码。
配置password_effect_time参数。
查看已配置的参数。
如果显示结果不为90,执行“\q”命令退出数据库。
然后在操作系统 omm下执行如下命令设置成默认值90(不建议设置为0)。
● 配置password_notify_time参数。
查看已配置的参数。
如果显示结果不为7,执行“\q”命令退出数据库。
然后在操作系统 omm下执行如下命令设置成默认值7(不建议设置为0)。
用户权限控制实验结束。
2 审计
2.1 实验介绍
2.1.1 关于本实验
数据库安全对数据库系统来说至关重要,openGauss将用户对数据库的所有操作写入审计日志,数据库安全管理员可以利用这些日志信息,重现导致数据库现状的一系列事件,找出非法操作的用户、时间和内容等。
本实验主要描述如何来设置数据库审计,主要包括审计开关、查看审计结果、维护审计日志。
2.1.2 实验目的
掌握如何设置数据库审计及审计日志的查看。
2.2 审计开、关
审计总开关audit_enabled支持动态加载。在数据库运行期间修改该配置项的值会立即生效,无需重启数据库。默认值为on,表示开启审计功能。
除了审计总开关,各个审计项也有对应的开关。只有开关开启,对应的审计功能才能生效。
各审计项的开关支持动态加载。在数据库运行期间修改审计开关的值,不需要重启数据库便可生效。
步骤 1 审计总开关设置。
启动服务器,再使用gsql客户端以管理员用户身份连接postgres数据库,假设端口号为26000。
如果显示结果不为on,执行“\q”命令退出数据库。
然后在操作系统 omm下执行如下命令设置成默认值on(不建议设置为off)。
步骤 2 审计项开关设置。
查看已配置审计项参数。
以下以数据库启动、停止、恢复和切换审计项为例。
如果显示结果不为1,执行“\q”命令退出数据库。
然后在操作系统 omm下执行如下命令设置成默认值1。
注意说明:
● 用户登录、注销审计 。
参数:audit_login_logout。
默认值为7,表示开启用户登录、退出的审计功能。设置为0表示关闭用户登录、退出的审计功能。不推荐设置除0和7之外的值。
● 数据库启动、停止、恢复和切换审计。
参数:audit_database_process。
默认值为1,表示开启数据库启动、停止、恢复和切换的审计功能。
● 用户锁定和解锁审计 。
参数:audit_user_locked。
默认值为1,表示开启审计用户锁定和解锁功能。
● 用户访问越权审计。
参数:audit_user_violation。
默认值为0,表示关闭用户越权操作审计功能。
● 授权和回收权限审计 。
参数:audit_grant_revoke。
默认值为1,表示开启审计用户权限授予和回收功能。
● 数据库对象的CREATE,ALTER,DROP操作审计。
参数:audit_system_object。
默认值为12295,表示只对DATABASE、SCHEMA、USER、DATA SOURCE这四类数据库对象的CREATE、ALTER、DROP操作进行审计。
● 具体表的INSERT、UPDATE和DELETE操作审计。
参数:audit_dml_state。
默认值为0,表示关闭具体表的DML操作(SELECT除外)审计功能。
● SELECT操作审计。
参数:audit_dml_state_select。
默认值为0,表示关闭SELECT操作审计功能。
● COPY审计。
参数:audit_copy_exec。
默认值为0,表示关闭copy操作审计功能。
● 存储过程和自定义函数的执行审计 。
参数:audit_function_exec。
默认值为0,表示不记录存储过程和自定义函数的执行审计日志。
● SET审计 参数:audit_set_parameter。
默认值为1,表示记录set操作审计日志。
2.3 查看审计结果
步骤 1 启动服务器,再使用gsql客户端以管理员用户身份连接postgres数据库,假设端口号为26000。
步骤 2 查询审计记录。
步骤 3 退出数据库
2.4 维护审计日志
设置自动删除审计日志。
步骤 1 启动服务器,再使用gsql客户端以管理员用户身份连接postgres数据库,假设端口号为26000。
步骤 2 配置审计文件占用磁盘空间的大小(audit_space_limit)。
查看已配置的参数。
如果显示结果不为1GB(1024MB),执行“\q”命令退出数据库。
然后在操作系统 omm用户下执行如下命令设置成默认值1024MB。
步骤 3 配置审计文件个数的最大值(audit_file_remain_threshold)。
查看已配置的参数。
如果显示结果不为1048576,执行“\q”命令退出数据库。
然后在操作系统 omm用户执行如下命令设置成默认值1048576。
审计实验结束。
openGauss数据库安全指导手册就介绍到这里了,感谢您的阅读。
简介
本实验适用于 openGauss数据库,通过该实验可以顺利完成对数据库用户权限的控制及各种审计。
内容描述
本实验主要内容为用户权限控制(包括用户、角色、权限的授予、权限的回收)和各审计。
前置条件
openGauss数据库安全实验需要掌握openGauss数据库的基本操作和SQL语法,openGauss数据库支持SQL2003标准语法,数据库基本操作参见附录一。
实验环境说明
●组网说明
本实验环境为华为云 ECS 服务器 + openGauss数据库。
● 设备介绍
为了满足数据库原理与实践课程实验需要,建议每套实验环境采用以下配置:
设备名称、型号与版本的对应关系如下:
设备明细表
实验概览
1 用户权限控制
1.1 实验介绍
1.1.1 关于本实验
本实验主要描述用户的创建管理、角色的创建管理、Schema的创建管理、用户权限设置、用户安全策略设置。
1.1.2 实验目的
●掌握用户、角色、Schema的创建及管理;
●掌握用户权限的授予各回收;
● 掌握用户安全策略如何设置。
1.2 用户
通过CREATE USER创建的用户,默认具有LOGIN权限;
通过CREATE USER创建用户的同时系统会在执行该命令的数据库中,为该用户创建一个同名的SCHEMA;其他数据库中,则不自动创建同名的SCHEMA;用户可使用CREATE SCHEMA命令,分别在其他数据库中,为该用户创建同名SCHEMA。
1.2.1 创建、修改、删除用户
步骤 1 启动服务器,再使用gsql客户端以管理员用户身份连接postgres数据库,假设端口号为26000。
步骤 2 连接数据库后,进入SQL命令界面。创建用户jim,登录密码为Bigdata@123。
说明:密码规则如下:
● 密码默认不少于8个字符;
● 不能与用户名及用户名倒序相同;
● 至少包含大写字母(A-Z),小写字母(a-z),数字(0-9),非字母数字字符(限定为~!@#$%^&*()-_=+|[{}];:,<.>/?)四类字符中的三类字符;
● 创建用户时,应当使用双引号或单引号将用户密码括起来。
步骤 3 查看用户列表。
postgres=# SELECT * FROM pg_user; usename | usesysid | usecreatedb | usesuper | usecatupd | userepl | passwd | valbegin | valuntil | respool | parent | spacelimit | useconfig | nodegroup | tempspacelimit | spillspacelimit ---------+----------+-------------+----------+-----------+---------+----------+--- omm | 10 | t | t | t | t | ******** | | | default_pool | 0 | | | | | jim | 16389 | f | f | f | f | ******** | | | default_pool | 0 | | | | | (2 rows)步骤 4 创建有“创建数据库”权限的用户,则需要加CREATEDB关键字。
步骤 5 将用户jim的登录密码由Bigdata@123修改为Abcd@123。
步骤 6 为用户jim追加有创建角色的CREATEROLE权限。
步骤 7 锁定jim帐户。
步骤 8 解锁jim帐户。
步骤 9 删除用户。
步骤 10 退出数据库。
1.3 角色
角色是拥有数据库对象和权限的实体。在不同的环境中角色可以认为是一个用户,一个组或者兼顾两者。
在数据库中添加一个新角色,角色无登录权限。
创建角色的用户必须具备CREATE ROLE的权限或者是系统管理员。
1.3.1 创建、修改、删除角色
步骤 1 启动服务器,再使用gsql客户端以管理员用户身份连接postgres数据库,假设端口号为26000。
步骤 2 创建一个角色,名为manager,密码为Bigdata@123。
步骤 3 创建一个角色,从2021年1月1日开始生效,到2021年6月1日失效。
步骤 4 修改角色manager的密码为abcd@123。
步骤 5 修改角色manager为系统管理员。
步骤 6 删除角色manager。
步骤 7 查看角色。
postgres=# SELECT * FROM PG_ROLES; rolname | rolsuper | rolinherit | rolcreaterole | rolcreatedb | rolcatupdate | rolcanlogin | rolreplication | rolauditadmin | rolsystemadmin | rolconnlimit | rol password | rolvalidbegin | rolvaliduntil | rolrespool | rolparentid | roltabspace | rolconfig | oid | roluseft | rolkind | nodegroup | rolte mpspace | rolspillspace ---------+----------+------------+---------------+-------------+--------------+-------------+----------------+--------------- omm | t | t | t | t | t | t | t | t | t | -1 | *** ***** | | | default_pool | 0 | | | 10 | t | n | | | dim | f | t | f | t | f | t | f | f | f | -1 | *** ***** | | | default_pool | 0 | | | 16393 | f | n | | | miriam | f | t | f | f | f | t | f | f | f | -1 | *** ***** | 2020-07-01 00:00:00+08 | 2020-12-01 00:00:00+08 | default_pool | 0 | | | 16401 | f | n | | | (3 rows)步骤 8 退出数据库
1.4 Schema
Schema又称作模式。通过管理Schema,允许多个用户使用同一数据库而不相互干扰。
每个数据库包含一个或多个Schema。
在数据库创建用户时,系统会自动帮助用户创建一个同名Schema。
1.4.1 创建、修改、删除Schema
步骤 1 启动服务器,再使用gsql客户端以管理员用户身份连接postgres数据库,假设端口号为26000。
步骤 2 创建模式ds。
步骤 3 将当前模式ds更名为ds_new。
步骤 4 创建用户jack。
步骤 5 将DS_NEW的所有者修改为jack。
步骤 6 查看Schema所有者。
postgres=# SELECT s.nspname,u.usename AS nspowner FROM pg_namespace s, pg_user u WHERE s.nspowner = u.usesysid; nspname | nspowner --------------------+---------- pg_toast | omm cstore | omm dbe_perf | omm snapshot | omm pg_catalog | omm public | omm information_schema | omm dim | dim jack | jack ds_new | jack (10 rows)步骤 7 删除用户jack和模式ds_new。
步骤 8 退出数据库
1.5 用户权限设置及回收
使用GRANT命令进行用户授权包括以下三种场景:
● 将系统权限授权给角色或用户。
● 将数据库对象授权给角色或用户。
● 将角色或用户的权限授权给其他角色或用户。
1.5.1 将系统权限授权给用户或者角色
步骤 1 启动服务器,再使用gsql客户端以管理员用户身份连接postgres数据库,假设端口号为26000。
步骤 2 创建名为joe的用户,并将sysadmin权限授权给joe。
1.5.2 将数据库对象授权给角色或用户
步骤 1 撤销joe用户的sysadmin权限,然后创建tpcds模式,并给tpcds模式下创建一张reason表。
postgres=# REVOKE ALL PRIVILEGES FROM joe; ALTER ROLE postgres=# CREATE SCHEMA tpcds; CREATE SCHEMA postgres=# CREATE TABLE tpcds.reason ( r_reason_sk INTEGER NOT NULL, r_reason_id CHAR(16) NOT NULL, r_reason_desc VARCHAR(20) ); CREATE TABLE步骤 2 将模式tpcds的使用权限和表tpcds.reason的所有权限授权给用户joe。
授权成功后,joe用户就拥有了tpcds.reason表的所有权限,包括增删改查等权限。
步骤 3 将tpcds.reason表中r_reason_sk、r_reason_id、r_reason_desc列的查询权限,r_reason_desc的更新权限授权给joe。
步骤 4 将数据库postgres的连接权限授权给用户joe,并给予其在postgres中创建schema的权限,而且允许joe将此权限授权给其他用户。
步骤 5 创建角色tpcds_manager,将模式tpcds的访问权限授权给角色tpcds_manager,并授予该角色在tpcds下创建对象的权限,不允许该角色中的用户将权限授权给其人。
1.5.3 将用户或者角色的权限授权给其他用户或角色
步骤 1 创建角色manager,将joe的权限授权给manager,并允许该角色将权限授权给其他人。
步骤 2 创建用户senior_manager,将用户manager的权限授权给该用户。
1.5.4 权限回收
步骤 1 撤销权限,并清理用户。
步骤 2 退出数据库
注意:实验完成后请尽量清理本实验的对象,以免影响与其它实验产生冲突。
1.6 安全策略设置
为了保证帐户安全,如果用户输入密码次数超过一定次数(failed_login_attempts),系统将自动锁定该帐户,默认值为10。次数设置越小越安全,但是在使用过程中会带来不便。
当帐户被锁定时间超过设定值(password_lock_time),则当前帐户自动解锁,默认值为1天。时间设置越长越安全,但是在使用过程中会带来不便。
1.6.1 设置账户安全策略
步骤 1 启动服务器,再使用gsql客户端以管理员用户身份连接postgres数据库,假设端口号为26000。
步骤 2 配置failed_login_attempts参数。
查看已配置的参数。
如果显示结果不为10,执行“\q”命令退出数据库。
然后在操作系统 omm 用户下执行如下命令设置成默认值10。
注意:/gaussdb/data/dbnode 指的是数据目录,要根据自己实际情况调整。
比如数据目录/gaussdb/data/db1,执行结果如下。
步骤 3 配置password_lock_time参数。
查看已配置的参数。
如果显示结果不为1,执行“\q”命令退出数据库。
然后在操作系统 omm 用户下执行如下命令设置成默认值1。
执行结果如下:
1.6.2 设置账号有效期
创建新用户时,需要限制用户的操作期限(有效开始时间和有效结束时间)。
不在有效操作期内的用户需要重新设定帐号的有效操作期。
步骤 1 启动服务器,再使用gsql客户端以管理员用户身份连接postgres数据库,假设端口号为26000。
步骤 2 创建用户并制定用户的有效开始时间和有效结束时间。
步骤 3 重新设定帐号的有效期。
步骤 4 退出数据库。
1.6.3 设置密码安全策略
用户密码存储在系统表pg_authid中,为防止用户密码泄露,openGauss对用户密码可进行加密存储、密码复杂度设置、密码重用天数设置、密码有效期限设置等。
步骤 1 启动服务器,再使用gsql客户端以管理员用户身份连接postgres数据库,假设端口号为26000。
步骤 2 配置的加密算法。
查看已配置的参数。
如果显示结果为0或1,执行“\q”命令退出数据库。
然后在操作系统 omm 用户下执行如下命令将其设置为安全的加密算法。
注意说明:
● 当参数password_encryption_type设置为0时,表示采用md5方式对密码加密。md5为不安全的加密算法,不建议使用。
● 当参数password_encryption_type设置为1时,表示采用sha256和md5方式对密码加密。其中包含md5为不安全的加密算法,不建议使用。
● 当参数password_encryption_type设置为2时,表示采用sha256方式对密码加密,为默认配置。
步骤 3 配置密码安全参数。
查看已配置的参数。
如果显示结果不为1,执行“\q”命令退出数据库。
然后在操作系统 omm下执行如下命令设置成默认值1。
注意说明:
● 参数password_policy设置为1时表示采用密码复杂度校验,默认值;
● 参数password_policy设置为0时表示不采用任何密码复杂度校验,设置为0会存在安全风险,不建议设置为0,即使需要设置也要将所有openGauss节点中的password_policy都设置为0才能生效。
步骤 4 配置密码重用。
查看不可重用天数已配置的参数。
如果显示结果不为60,执行“\q”命令退出数据库。
然后在操作系统 omm下执行如下命令设置成默认值60。
查看不可重用次数已配置的参数。
如果显示结果不为0,执行“\q”命令退出数据库。
然后在操作系统 omm下执行如下命令设置成默认值0。
注意说明:
● 不可重用天数默认值为60天,不可重用次数默认值是0;
● 这两个参数值越大越安全,但是在使用过程中会带来不便,其默认值符合安全标准,用户可以根据需要重新设置参数,提高安全等级。
步骤 5 配置密码有效期限。
数据库用户的密码都有密码有效期(password_effect_time),当达到密码到期提醒天数(password_notify_time)时,系统会在用户登录数据库时提示用户修改密码。
配置password_effect_time参数。
查看已配置的参数。
如果显示结果不为90,执行“\q”命令退出数据库。
然后在操作系统 omm下执行如下命令设置成默认值90(不建议设置为0)。
● 配置password_notify_time参数。
查看已配置的参数。
如果显示结果不为7,执行“\q”命令退出数据库。
然后在操作系统 omm下执行如下命令设置成默认值7(不建议设置为0)。
用户权限控制实验结束。
2 审计
2.1 实验介绍
2.1.1 关于本实验
数据库安全对数据库系统来说至关重要,openGauss将用户对数据库的所有操作写入审计日志,数据库安全管理员可以利用这些日志信息,重现导致数据库现状的一系列事件,找出非法操作的用户、时间和内容等。
本实验主要描述如何来设置数据库审计,主要包括审计开关、查看审计结果、维护审计日志。
2.1.2 实验目的
掌握如何设置数据库审计及审计日志的查看。
2.2 审计开、关
审计总开关audit_enabled支持动态加载。在数据库运行期间修改该配置项的值会立即生效,无需重启数据库。默认值为on,表示开启审计功能。
除了审计总开关,各个审计项也有对应的开关。只有开关开启,对应的审计功能才能生效。
各审计项的开关支持动态加载。在数据库运行期间修改审计开关的值,不需要重启数据库便可生效。
步骤 1 审计总开关设置。
启动服务器,再使用gsql客户端以管理员用户身份连接postgres数据库,假设端口号为26000。
如果显示结果不为on,执行“\q”命令退出数据库。
然后在操作系统 omm下执行如下命令设置成默认值on(不建议设置为off)。
步骤 2 审计项开关设置。
查看已配置审计项参数。
以下以数据库启动、停止、恢复和切换审计项为例。
如果显示结果不为1,执行“\q”命令退出数据库。
然后在操作系统 omm下执行如下命令设置成默认值1。
注意说明:
● 用户登录、注销审计 。
参数:audit_login_logout。
默认值为7,表示开启用户登录、退出的审计功能。设置为0表示关闭用户登录、退出的审计功能。不推荐设置除0和7之外的值。
● 数据库启动、停止、恢复和切换审计。
参数:audit_database_process。
默认值为1,表示开启数据库启动、停止、恢复和切换的审计功能。
● 用户锁定和解锁审计 。
参数:audit_user_locked。
默认值为1,表示开启审计用户锁定和解锁功能。
● 用户访问越权审计。
参数:audit_user_violation。
默认值为0,表示关闭用户越权操作审计功能。
● 授权和回收权限审计 。
参数:audit_grant_revoke。
默认值为1,表示开启审计用户权限授予和回收功能。
● 数据库对象的CREATE,ALTER,DROP操作审计。
参数:audit_system_object。
默认值为12295,表示只对DATABASE、SCHEMA、USER、DATA SOURCE这四类数据库对象的CREATE、ALTER、DROP操作进行审计。
● 具体表的INSERT、UPDATE和DELETE操作审计。
参数:audit_dml_state。
默认值为0,表示关闭具体表的DML操作(SELECT除外)审计功能。
● SELECT操作审计。
参数:audit_dml_state_select。
默认值为0,表示关闭SELECT操作审计功能。
● COPY审计。
参数:audit_copy_exec。
默认值为0,表示关闭copy操作审计功能。
● 存储过程和自定义函数的执行审计 。
参数:audit_function_exec。
默认值为0,表示不记录存储过程和自定义函数的执行审计日志。
● SET审计 参数:audit_set_parameter。
默认值为1,表示记录set操作审计日志。
2.3 查看审计结果
步骤 1 启动服务器,再使用gsql客户端以管理员用户身份连接postgres数据库,假设端口号为26000。
步骤 2 查询审计记录。
postgres=# SELECT time,type,result,username,object_name FROM pg_query_audit('2021-01-01 10:00:00','2021-08-15 09:47:33'); time | type | result | username | object_name ------------------------+---------------+--------+----------+----------------- 2020-07-10 10:00:59+08 | user_logout | ok | omm | postgres 2020-07-10 10:02:39+08 | user_logout | ok | omm | postgres 2020-07-10 10:08:35+08 | login_success | ok | omm | postgres 2020-07-10 10:08:35+08 | set_parameter | ok | omm | connection_info 2020-07-10 10:08:40+08 | user_logout | ok | omm | postgres 2020-07-10 10:08:42+08 | login_success | ok | omm | postgres 2020-07-10 10:08:42+08 | set_parameter | ok | omm | connection_info 2020-07-10 10:14:56+08 | login_success | ok | omm | postgres 2020-07-10 10:14:56+08 | set_parameter | ok | omm | connection_info 2020-07-10 10:16:33+08 | ddl_database | ok | omm | mydb 2020-07-10 10:22:42+08 | user_logout | ok | omm | postgres 2020-07-10 10:26:51+08 | user_logout | ok | omm | postgres 2020-07-10 10:29:08+08 | login_success | ok | omm | postgres 2020-07-10 10:29:08+08 | set_parameter | ok | omm | connection_info 2020-07-10 10:48:23+08 | user_logout | ok | omm | postgres 2020-07-10 10:55:02+08 | login_success | ok | omm | postgres 2020-07-10 10:55:02+08 | set_parameter | ok | omm | connection_info 2020-07-10 10:55:48+08 | login_success | ok | omm | postgres 2020-07-10 10:55:48+08 | set_parameter | ok | omm | connection_info 2020-07-10 11:17:25+08 | login_success | ok | omm | postgres 2020-07-10 11:17:25+08 | set_parameter | ok | omm | connection_info 2020-07-10 11:31:06+08 | user_logout | ok | omm | postgres 2020-07-10 11:34:05+08 | login_success | ok | omm | postgres 2020-07-10 11:34:05+08 | set_parameter | ok | omm | connection_info 2020-07-10 11:40:11+08 | login_success | ok | omm | postgres 2020-07-10 11:40:11+08 | set_parameter | ok | omm | connection_info步骤 3 退出数据库
2.4 维护审计日志
设置自动删除审计日志。
步骤 1 启动服务器,再使用gsql客户端以管理员用户身份连接postgres数据库,假设端口号为26000。
步骤 2 配置审计文件占用磁盘空间的大小(audit_space_limit)。
查看已配置的参数。
如果显示结果不为1GB(1024MB),执行“\q”命令退出数据库。
然后在操作系统 omm用户下执行如下命令设置成默认值1024MB。
步骤 3 配置审计文件个数的最大值(audit_file_remain_threshold)。
查看已配置的参数。
如果显示结果不为1048576,执行“\q”命令退出数据库。
然后在操作系统 omm用户执行如下命令设置成默认值1048576。
审计实验结束。
openGauss数据库安全指导手册就介绍到这里了,感谢您的阅读。