人大金仓数据库三权分立经验总结

最新推荐文章于 2024-06-25 11:10:09 发布
最新推荐文章于 2024-06-25 11:10:09 发布
阅读量405 收藏
点赞数
文章标签: 金仓数据库 kingbase 数据库 人大金仓 DBA
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/arthemis_14/article/details/133047289
版权

1.概述

KingbaseES 安全版本支持将管理特权三权分立为三个管理员,并在初始化的时候创建数据库管理员、安全管理员和审计管理员。 KingbaseES 中,由于三权分立的约束,数据库管理员,安全管理员,审计管理员各自维护自己权限许可范围内的用户,不同目的的用户应由相应的管理员创建。 通过加载可选的 sso_update_user 插件可以满足某些特殊场景的三权分立需求,对管理员和安全员的权限做出进一步的划分。

2.三权分立特性实际操作

(1)初始化的时候创建数据库管理员、安全管理员和审计管理员。

--默认初始化后
TEST=# select * from sys_user;

(2)数据库管理员创建新用户

TEST=# create user test1 with password '123456';
CREATE ROLE

(3)数据库管理员修改新用户

TEST=# alter user test1 with password '654321';
ALTER ROLE

(4)数据库管理员删除用户

TEST=# drop user test1 
DROP ROLE

(5)插件加强支持

  1. 加载插件 修改 kingbase.conf 文件中 shared_preload_libraries 参数后重启数据库,创建插件并切换用户为安全管理员 sso,打开插件开关。

  1. 参数配置 sso_update_user.sso_update_user_enable 默认为关闭状态。

  2. 卸载插件 修改 kingbase.conf 文件中 shared_preload_libraries 参数后重启数据库。

  1. 参数开关开启后限制

1)CREATE ROLE/USER: 系统管理员用户在创建普通用户时不可指定密码等选项。

2)ALTER ROLE/USER: 只有 sso 和普通用户本身可以更改普通用户的密码。

3)ALTER ROLE/USER: 系统管理员只能修改超级用户,或超级用户权限选项。

(6)sso和sao无法使用DDL,即无法创建,删除,修改对象和用户。

file

file

3.使用经验及注意事项

  1. CREATE sao 和 sso 不可以创建用户及普通对象
  1. ALTER sao 和 sso 不可以修改对象定义

3.DROP sao 和 sso 不可以删除对象

  1. ALTER USER/ROLE sao 和 sso 只可以修改自己的密码
  1. GRANT/REVOKE

a. sao 不可以进行授权操作

b. 不可以为 sao 和 sso 授权和撤权

c. 不允许其他用户成为 sao 和 sso 的成员

d. 不允许 sao 和 sso 成为其他用户的成员

  1. DROP USER/ROLE 依赖于是否有 CREATE ROLE 的权限,并且 sao 和 sso 不可以被删除。

  1. SHOW sao 和 sso 允许使用 SHOW 命令

  2. ALTER SYSTEM SET

a. 系统管理员和普通用户不可以修改审计和安全的参数

b. 审计员只可以修改审计参数

c. 安全员只可以修改安全参数

  1. SET/RESET sao 和 sso 不允许使用 SET/RESET 命令

4.与竞品差异点

差异点OracleKingbaseMySQL
1用户管理分为sys system(管理员)\scott(普通用户)系统管理员(system)\安全管理员(sso)\审计管理员(sao)普通用户\超级管理员(root))
2管理员负责所有权限,创建普通用户时为其分配权限。三权分立 :系统管理员(system) --主要负责执行数据库日常管理的各种操作和自主存取控制。安全管理员(sso) -- 主要负责强制访问规则的制定和管理,监督审计管理员和普通用户的操作,不能创建和操作普通对象。审计管理员(sao)--主要负责数据库的审计,监督系统管理员和安全管理员的操作,不能创建和操作普通对象。管理员负责所有权限,可以为普通用户分配权限
3管理员账户可以处理安全,审计,管理等所有操作。需要切换对应管理员进行不同的管理操作管理员账户可以处理安全,审计,管理等所有操作。

5.价值评价

KingbaseES 安全版本支持将管理特权三权分立为三个管理员,并在初始化的时候创建数据库管理员、安全管理 员和审计管理员。

KingbaseES 中,由于三权分立的约束,数据库管理员,安全管理员,审计管理员各自维护自己权限许可范围内的用户,不同目的的用户应由相应的管理员创建,避免了权利过度集中的问题。

三权分立堵住了以前滥用数据库超级用户特权的安全漏洞,进一步提高了数据库的整体安全性。

更多信息,参见https://help.kingbase.com.cn/v8/index.html

沉舟侧畔千帆过_
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
人大金仓数据库三权分立
sui2019510805的博客
12-26 857
KingbaseES 中,由于三权分立的约束,数据库管理员,安全管理员,审计管理员各自维护自己权限许可范围内的用户,不同目的的用户应由相应的管理员创建,避免了权利过度集中的问题。KingbaseES 中,由于三权分立的约束,数据库管理员,安全管理员,审计管理员各自维护自己权限许可范围内的用户,不同目的的用户应由相应的管理员创建。安全管理员(sso) 主要负责强制访问规则的制定和管理,监督审计管理员和普通用户的操作,不能创建和操作普通对象。1. CREATE sao 和 sso 不可以创建用户及普通对象。
金仓数据库KingbaseES之三权分立
arthemis_14的博客
04-14 663
关键字: KingbaseES,特权分立,三权分立 内容正文: KingbaseES 采用了三权分立的安全管理体制,数据库三权分立是为了解决数据库超级用户权力过度集中的问题,参照行政、立法、司法三权分立的原则来设计的安全管理机制。KingbaseES 把数据库管理员分为数据库管理员、安全管理员、审计管理员三类。 1. 数据库管理员 主要负责执行数据库日常管理的各种操作和自主存取控制。 2. 安全管理员 主要负责强制存取控制规则的制定和管理。 3. 审计管理员 主要负责数据库的审计,监督前
等保三级安全加固,服务器三权分立设置,mysql密码策略登录策略
Karka_的博客
03-05 1459
1、安全计算环境1)数据库、服务器未配置口令复杂度策略。建议强制配置口令的复杂度策略(复杂度包含字母大小写,数字,特殊字符,密码长度八位以上),防止口令被轻易破解。2)数据库、服务器未配置口令有效期策略。建议配置数据库口令有效期策略,最短更改时间及最长更改时间(最长建议三个月,最短时间不要是0天)。3)服务器、数据库未配置登录失败处理及连接超时自动退出策略。建议配置登录失败处理策略,防止恶意人员暴力破解账户口令。并配置登录连接超时策略,降低设备被非授权访问的风险。4)服务器存在共享账户。
数据库三权分立
Uncle.Cui的技术博客
05-29 2446
DBSSO (database system security officer) : 可以配置系统使得系统能够“审计特定的用户行为”和“定期分析审计结果”
mysql三权分立
weixin_45023621的博客
08-08 4953
MySQL配置三权分立
PostgreSQL 数据库三权分立详解
最新发布
分享关于Java编程、数据库管理和信息安全方面的最佳实践
06-25 719
三权分立的基本思想是将系统中关键操作的权限分配给不同的角色,以确保没有单个用户或角色能够完全控制整个系统。数据库管理员(DBA):负责数据库的安装、配置、备份、恢复和性能优化等管理任务。安全管理员(SA):负责数据库安全策略的制定和实施,包括用户管理、权限分配和审计等。应用管理员(AA):负责数据库应用的开发和维护,包括表结构设计、查询优化和数据加载等。通过实施三权分立,可以有效地提高 PostgreSQL 数据库的安全性和管理效率。
人大金仓数据库用户手册
04-16
人大金仓数据库用户手册知识点汇总 人大金仓数据库用户手册是 KingbaseES V8 数据库管理系统的官方指导手册,旨在帮助用户快速了解和掌握 KingbaseES V8 的使用和管理。下面是人大金仓数据库用户手册中的关键知识点...
IDEA连接人大金仓数据库驱动
02-20
IDEA连接人大金仓数据库驱动
人大金仓数据库可视化链接工具绿色提取版
02-20
人大金仓数据库可视化链接工具是一款专为用户设计的数据库管理和操作软件,尤其适用于需要高效、直观地管理和查询数据库的场景。这款绿色提取版意味着它无需安装,用户可以直接运行,减少了系统资源的占用,并且便于...
人大金仓数据库适配mysql
02-20
文档根据长时间的实践迁移经验查询各种资料总结而成,主要帮助有mysql迁移kingBase的朋友作参考,包括禁用语法、禁用函数替换函数、ddl语言语法、类型转换函数等,若有不当之处请包涵
人大金仓数据库V8R2关键字列表
10-25
人大金仓数据库V8R2关键字列表, 数据库版本为V8R2,列举455个关键字及其类型
KingbaseES数据库管理员的安全和权限
weixin_46909925的博客
09-04 453
管理员执行基本数据库操作所需要的权限是通过特殊的系统权限授予的,在创建用户时可以指定授权。2、安全管理员:用户名默认为sso,主要负责强制访问规则的制定和管理,监督审计管理员和普通用户的操作,不能创建和操作普通对象。3、审计管理员:用户名默认为sao,主要负责数据库的审计,监督系统管理员和安全管理员的操作,不能创建和操作普通对象。1、SUPERUSER:超级用户,越过数据库内的所有访问限制,是最强大的管理权限。6、ANY权限:允许用户操作所有的某种类型的数据库对象的某种操作,不包括系统对象。
国产系统:麒麟之人大金仓数据库部署
予挚之的博客
05-31 3324
(7)如果这里出现可执行文件执行出错,说明选用的 cpu 对应的型号是错误的。我的 cpu 型号是鲲鹏系列的,因此重新下载并挂载了鲲鹏的镜像。(9)新开一个 shell 窗口执行命令,执行完成按 enter 退出安装程序即可。(10)到此服务已安装完成,查看服务状态。(6)按照如下过程进行配置和安装。(3)选择授权文件路径。(8)直至提示安装成功。
达梦数据库基础知识(五)安全用户管理之“三权分立
winderen111的博客
11-17 3861
为了保证数据库系统的安全性,DM数据库采用“三权分立”或“四权分立”的安全机制,“三权分立”时系统内置三种系统管理员,包括数据库管理员、数据库安全员和数据库审计员,“四权分立”时新增了一类用户,称为数据库对象操作员。它们各司其职,互相制约,有效地避免了将所有权限集中于一人的风险,保证了系统的安全性。 一、 DM系统管理员的类型 在现实生活中,任何一个系统如果将所有的权利都赋予给某一个人,而不加以监督和控制,势必会产生权利滥用的风险。从数据库安全角度出发,一个大型的数据库系统有必要将数据库系统的权限分配给不同
金仓数据库KingbaseES安全指南--3.1. 用户管理
arthemis_14的博客
07-21 3350
金仓数据库KingbaseES安全指南--3.1. 用户管理
误删除系统超级用户(superuser)权限的恢复方式
lyu1026的博客
02-03 1187
在使用KingbaseES数据库的时候,系统默认存在一个跟系统初始化用户同名的Superuser(默认是system用户,可更改)。 这个Superuser的存在其实对于权限的管控是很有用的,但是如果我们误操作,把数据库所有的superuser都变成普通账号后,可能会引起很多问题。 本文介绍这种情况下要如何恢复超级管理员权限。 1.模拟误操作,删除system用户的superuser权限 2.恢...
如何修改SAO用户密码
lyu1026的博客
10-29 1017
KingbaseES SAO 用户是专门用于审计管理的用户用户配置审计策略需要使用该用户。在initdb 完成后,SAO 用户的默认密码保存在参数sysaudit.audit_table_password 和 sysaudit.local_sao_password 中,默认密码是 ‘12345678ab’ 。以下以例子的形式,展示修改SAO用户密码的过程。 1、开启审计功能 设置参数: ...
人大金仓数据库KingbaseES 口令加密经验分享
arthemis_14的博客
11-21 1109
KingbaseES 配置文件 kingbase.conf 中的 password_encryption 参数决定用户口令加密的算法。当在 CREATE/ALTER USER 中指定了口令时,这个参数决定用于加密该口令的算法。默认值是 md5,它会将口令存为一个 MD5 哈希。将这个参数设置为 scram-sha-256 将使用 SCRAM-SHA-256 来加密口令。在 KingbaseES 中使用密码配置工具 sys_encpwd 来设置口令密文。
KingbaseEs V8R3(人大金仓)常用sql命令(超详细)
热门推荐
多喝清晨的粥
01-24 3万+
KingbaseEs V8R3(人大金仓)常用命令(超详细)
idea连接人大金仓数据库
12-24
idea连接人大金仓数据库是通过创新的思路和技术手段,实现与人大金仓数据库的数据交互和共享。首先,可以利用现有的技术平台和工具,如API接口、数据集成工具等,实现数据库的连接和数据的提取。其次,可以利用大数据分析和数据挖掘的技术手段,对人大金仓数据库中的大量数据进行深入分析和挖掘,从中发现有价值的信息和规律。在数据共享方面,可以考虑将人大金仓数据库中的相关数据以开放数据的形式分享给研究者和决策者,以促进学术研究和政策制定。 此外,还可以结合云计算和物联网技术,实现对人大金仓数据库的远程访问和管理,方便用户随时随地获取所需的数据和信息。同时,考虑到人大金仓数据库的安全性和隐私保护,需要建立严格的数据权限管理和访问控制机制,确保数据的安全和保密。 总的来说,要实现idea连接人大金仓数据库,需要综合运用信息技术和数据科学的相关知识,以及对于数据库管理和数据安全的规范和要求。这样可以有效地促进人大金仓数据库的应用和价值发挥,为学术研究和社会决策提供更多有益的支持和帮助。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值