SQL-Relay学习笔记(3)

最新推荐文章于 2023-04-21 09:45:32 发布
最新推荐文章于 2023-04-21 09:45:32 发布
阅读量594 收藏
点赞数
分类专栏: SQL Relay 数据库 文章标签: 数据库 sql-relay 加密 认证
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/liuyueyi1995/article/details/52673510
版权

安全性保障

Kerberos 和活动目录(Active Directory)加密认证

SQL Relay支持Kerberos加密和认证。
当启用Kerberos和Active Directory加密认证后:

  • SQL Relay客户端和服务器之间的全部通信都会加密
  • 通过了认证用户才可以访问SQL Relay

Kerberos应用于Linux,Unix系统,活动目录域用于Windows系统。

下面的实例启用了Kerberos认证和加密:

<?xml version="1.0"?>
<instances>

        <instance id="example" krb="yes" krbservice="sqlrelay" krbkeytab="/usr/local/firstworks/etc/sqlrelay.keytab">
                <auths>
                        <auth module="krb_userlist">
                                <user user="dmuse@KRB.FIRSTWORKS.COM"/>
                                <user user="kmuse@KRB.FIRSTWORKS.COM"/>
                                <user user="imuse@KRB.FIRSTWORKS.COM"/>
                                <user user="smuse@KRB.FIRSTWORKS.COM"/>
                                <user user="FIRSTWORKS.COM\dmuse"/>
                                <user user="FIRSTWORKS.COM\kmuse"/>
                                <user user="FIRSTWORKS.COM\imuse"/>
                                <user user="FIRSTWORKS.COM\smuse"/>
                        </auth>
                </auths>
                <connections>
                        <connection string="user=scott;password=tiger;oracle_sid=orcl"/>
                </connections>
        </instance>

</instances>

krb参数是Kerberos加密认证的使能标记。
krbservice参数默认为sqlrelay,指明使用哪个Kerberos服务。
krbkeytab参数指明keytab文件的位置。
krb_userlist包含一系列已认证的用户,Linux上格式为user@REALM,Windows上格式为REALM\user。

启动方法:

sqlr-start -id example

连接方法:

sqlrsh -host sqlrserver -krb //Linux

sqlrsh -host sqlrserver -krb -krbservice sqlrelay/sqlrserver.firstworks.com@AD.FIRSTWORKS.COM 

//Windows 需要指明krbserveice参数

TLS/SSL加密认证

SQL Relay支持TLS/SSL加密认证。
当启用TLS/SSL加密认证后:

  • SQL Relay客户端和服务器之间的全部通信都会加密
  • SQL Relay客户端和服务器会随机的验证对方的证书和身份

当启用TLS/SSL加密认证时,SQL Relay服务器至少会提供一个证书,在高安全级别的情况下,这个证书需要来自一个可信的证书认证中心。Linux和Unix支持多种证书格式,但Windows只支持.pfx格式。

实例:

<?xml version="1.0"?>
<instances>

        <instance id="example"
                tls="yes"
                tlscert="/usr/local/firstworks/etc/sqlrserver.pem"
                tlsvalidate="yes"
                tlsca="/usr/local/firstworks/etc/sqlrca.pem">
                <auths>
                        <auth module="tls_userlist">
                                <user user="sqlrclient1.firstworks.com"/>
                                <user user="sqlrclient2.firstworks.com"/>
                                <user user="sqlrclient3.firstworks.com"/>
                                <user user="sqlrclient4.firstworks.com"/>
                        </auth>
                </auths>
                <connections>
                        <connection string="user=scott;password=tiger;oracle_sid=orcl"/>
                </connections>
        </instance>

</instances>

tls参数是TLS/SSL加密的使能标记
tlscert参数指明使用的证书
tlsvalidate参数用于启用对客户端证书的认证(可信认证签署,系统已知或由tlsca提供)
tlsca参数指定证书认证
tls_userlist参数列出通过认证的用户

启动方法:

sqlr-start -id example

连接方法:

sqlrsh -host sqlrserver -tls -tlsvalidate no -tlscert /usr/local/firstworks/etc/sqlrclient.pem

下列命令开启了交互认证(即C-S相互认证)

sqlrsh -host sqlrserver.firstworks.com -tls -tlscert /usr/local/firstworks/etc/sqlrclient.pem -tlsvalidate ca+host -tlsca /usr/local/firstworks/etc/sqlrca.pem
liuyueyi1995
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SQL-Relay参数文档
09-28
SQL-Relay参数文档
Gost加密隧道中转方案搭建及原理讲解
热门推荐
qq_32581869的博客
04-11 1万+
GOST加密隧道介绍: GOST是一款用GO语言实现的安全隧道软件,gost安全隧道使用的是 Relay+tls 的协议,将流量加密并混淆成普通的上网流量,让流量特征监控失效。Relay协议同时具有代理和转发功能,可同时处理TCP和UDP的数据,并支持用户认证TLS是一种加密传输协议,用于在两个通信应用程序之间提供保密性和数据完整性。 Gost 隧道需要两端,即服务端与客户端才能组成一条加密隧道, 所以需要一台境外服务器做服务端,同时在你的本地也需要一台客户端(可以是矿机本身,也可以是任意一台能运行
Relay+TLS使用
weixin_41560737的博客
02-28 1474
加密协议使用
kerberos中继攻击
最新发布
ordar123的博客
04-21 230
python gets4uticket.py kerberos+ccache://rangenet.com\win10$:win10.ccache@DC主机名.rangenet.com cifs/[email protected] [email protected] admin.ccache。python gettgtpkinit.py -pfx-base64 一大串证书 rangenet.com/win10$ win10.ccache。
Kerberos中继攻击:滥用无约束委派(下)
systemino的博客
10-10 1029
上一篇文章,我只讲了中继攻击的基本理论,这篇文章,我会举两个示例来及具体说明。 示例1:使用计算机帐户和SpoolService漏洞获取DC同步权限 在第一种情况下,我们将滥用我的internal.corp实验室域中的计算机帐户的无约束委派权限。通过攻击用户testuser获得了此主机的管理权限,该用户是该主机上Administrators组的成员。我们将按照上面列出的步骤,首先获取Kerbe...
Sentry 企业级数据安全解决方案 - Relay 入门
o__cc的博客
01-05 460
内容整理自官方开发文档 Sentry Relay 通过提供作为应用程序和 sentry.io 之间中间层的独立服务来提供企业级数据安全性。 Relay 专门设计用于: 在将个人身份信息 (PII) 发送给 Sentry 之前,在中心位置对其进行清理 在低带宽或连接受限的地区提高事件响应时间 充当将所有 HTTP 通信限制为自定义域名的组织的不透明代理 托管模式(managed mode)...
华为HCIP-RS学习笔记.rar
09-30
目录: 01-企业网络高级解决方案 02-OSPF 03-路由控制 04-路由策略 ...30-DHCP Relay 31-VPN基础 32-GRE VPN 33-PKI公钥基础架构 34-IPSec VPN 35-MAC安全 36-DHCP安全 37-IP安全 38-ARP安全
Frame-Relay实验笔记
09-05
本人学习ccnp做的frame-relay实验笔记,详细
华为HCIP-RS学习笔记【共38章.rar
09-30
目录:网盘文件永久链接 01-企业网络高级解决方案 02-OSPF 03-路由控制 ...30-DHCP Relay 31-VPN基础 32-GRE VPN 33-PKI公钥基础架构 34-IPSec VPN 35-MAC安全 36-DHCP安全 37-IP安全 38-ARP安全
Kerberos v5 源代码
12-16
Kerberos v5 在windows 上的源代码,该代码适当的编译后,可以直接在windows下运行
SQL-Relay学习笔记(4)
liuyueyi1995的博客
09-28 981
SQL Relay附录在自己学习的过程中,很少能找到中文的相关资料,这里将SQL Relay文档中的附录翻译整理一下,发出来给大家参考,用到的时候备查。由于我水平有限,英文原版也会附在最后。实际案例先看一个比较综合的配置文件:<?xml version="1.0"?> <instances> <!-- Regular SQL Relay Instance --> <in
SQL-Relay学习笔记(1)
liuyueyi1995的博客
09-23 1655
SQL-Relay笔记基本配置文件位置Unix和Linux下其配置文件位于 Built from source - /usr/local/firstworks/etc/sqlrelay.conf RPM package - /etc/sqlrelay.conf FreeBSD package - /usr/local/etc/sqlrelay.conf NetBSD package - /us
SQL Relay使用详解
路在脚下
01-22 2791
http://www.ydmsh.com/www/Blog/Show/id/152/ episode01 What Is     此文算是我对这段时间学习SQL Relay的汇总和总结。到此,对SQL Relay学习也算告一段落了,虽然算不上深入但各方面也基本了解了。另外一点,也许很长时间我不会再怎么折腾SQL Relay了。     SQL Relay是什么东西。只要了解
SQL Relay开源的数据库池连接代理服务器
无界编程
10-26 2762
一、SQL Relay是什么?SQL Relay是一个开源的数据库池连接代理服务器二、SQL Relay支持哪些数据库? * Oracle* MySQL* mSQL* PostgreSQL* Sybase* MS SQL Server* IBM DB2* Interbase* Sybase* SQLite* Lago* ODBC* MS Access三、安装和配置;不说废话了,开始安装SQL Re
NTLMSSP and Kerberos v5 Protocol
TheSRE's Blog
05-22 458
NTLMSSPNTLMSSP, whose authentication service identifier is RPC_C_AUTHN_WINNT, is a security support provider that is available on all versions of DCOM. It uses the NTLM protocol for authentication. NT...
P2P通信标准协议(一)之STUN
weixin_33827965的博客
12-12 355
前一段时间在P2P通信原理与实现中介绍了P2P打洞的基本原理和方法,我们可以根据其原理为自己的网络程序设计一套通信规则, 当然如果这套程序只有自己在使用是没什么问题的。可是在现实生活中,我们的程序往往还需要和第三方的协议(如SDP,SIP)进行对接,因此使用标准化 的通用规则来进行P2P链接建立是很有必要的。本文就来介绍一下当前主要应用于P2P通信的几个标准协议,主要有STUN/RFC3489,S...
使用krbrelayx和mitm6通过DNS中继Kerbeos
Fly_鹏程万里
05-07 555
文章前言 我喜欢的一件事是当我认为我很好地理解了一个话题,然后有人证明我完全错了。当James Forshaw发表一篇关于Kerberos中继的博客时,或多或少发生了这种情况,这反驳了我几年前不能中继Kerberos的结论. James表明有一些技巧可以使Windows对不同的服务主体名称(SPN)进行身份验证,而不是通常从客户端连接到的主机名派生的名称,这意味着Kerberos并不像我假设的那样完全防中继。这促使我研究了一些替代的滥用路径,包括我几年前研究过但永远无法工作的东西:中继DNS身份验证。当您
SQL-Relay学习笔记(2)
liuyueyi1995的博客
09-26 809
可用性保障SQL-Relay可以作为一个前端为数据库集群或多个SQL-Relay服务器提供负载均衡(load-balancing)、故障切换(fail-over),以保证服务的高可用性。数据库集群的负载均衡和故障切换SQL-Relay可以为不同的数据库节点和节点间的分布式会话维持一个连接池。如果单个节点失效,SQL-Relay会尝试重连的同时用剩余节点提供服务。 配置文件中,每一个链接标签(con
what is a rogue Open-relay server
04-12
A rogue Open-relay server is an email server that allows anyone to send mail through it, regardless of whether they are authorized to do so or not. This type of server can be used to send spam emails ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值