人大金仓数据库KingbaseES 来源限制经验分享

关键字：

安全；来源限制；；人大金仓；KingbaseES

概述

来源限制是由数据库管理员对要登录数据库的用户及 IP 进行设置，对于处于黑名单中的用户及 IP，数据库将不允许登录。这里黑名单的优先级较高。

KingbaseES 通过插件的方式来进行来源限制。这种方式更为灵活，当数据库的实用场景需要进行来源限制时，加载插件即可。而不需要该功能时，卸载插件即可。该插件默认加载。KingbaseES 中通过 1 个全局级参数配合插件来实现用户来源限制管理。该插件功能默认开启。详情参见插件 src_restrict 。

特性实际操作

shared_preload_libraries = 'src_restrict' show src_restrict.enable; src_restrict.enable ------------------- on (1 行记录) alter system set src_restrict.enable=off; ALTER SYSTEM select sys_reload_conf(); sys_reload_conf ----------------- t (1 行记录) show src_restrict.enable; src_restrict.enable ------------------- off (1 行记录) 系统视图 src_restrict.show_rules 所有用户都可以通过该视图查看当前的限制规则。 select * from src_restrict.show_rules; 系统函数 src_restrict.add_rules 添加来源规则的限制。 语法如下：src_restrict.add_rules( filter_type int, rule_user text, rule_ip text, outrule_ip text) 系统函数 src_restrict.remove_rules 删除来源规则的限制。 src_restrict.remove_rules( filter_type int, rule_user text, rule_ip text)

使用经验及注意事项

来源限制本身注意事项较少，相关测试应在来源限制的基础上查看黑白名单的使用。

价值评价

可以通过来源限制，限制一些不允许访问的ip，或者是一些风险或者不可信的ip，这比黑名单级别更高，可以优先的防止其进行连接，提高了安全性。

参考资料

《KingbaseES 安全指南》