gaussdb 安全维护【设置密码安全策略】【04】

最新推荐文章于 2024-05-21 14:51:01 发布
最新推荐文章于 2024-05-21 14:51:01 发布
阅读量2.5k 收藏 7
点赞数
分类专栏: GaussDB
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_42226855/article/details/109552483
版权

设置密码安全策略

GaussDB设置了完善的密码安全策略,保证帐户的使用安全。

用户密码存储在系统表pg_authid中,为防止用户密码泄露,GaussDB对用户密码进行加密存储,所采用的加密算法由配置参数password_encryption_type决定。

查看已配置的加密算法。

show password_encryption_type;
 password_encryption_type
--------------------------
 1
(1 row)

  • 说明:
    1表示采用SHA256方式对密码加密。
    0表示采用md5方式对密码加密。md5为不安全的加密算法,不建议使用。

  • 如果显示结果为0,执行如下命令设置为安全的加密算法。

gs_guc reload -c password_encryption_type=1
  • 注意:
    为防止用户密码泄露,在执行CREATE USER/ROLE命令创建数据库用户时,不能指定UNENCRYPTED属性,即新创建的用户的密码只能是加密存储的。

配置密码安全参数

安全策略主要分为密码复杂度、密码重用和密码修改三个部分,详细信息请参见表1。

表1 密码安全策略配置项

配置项描述命令
密码复杂度初始化数据库、创建用户、修改用户时需要指定密码。密码必须要符合复杂度检查,否则会提示用户重新输入密码。

帐户密码的复杂度要求如下:

1.至少包含大写字母(A-Z),小写字母(a-z),数字(0-9),非字母数字字符(具体请参见表2)四类字符中的三类字符。
2.最少8个字符。
3.不能和用户名相同。
4.不能和当前密码相同。		系统自动配置,不支持用户配置。
密码重用用户修改密码时,只有超过不可重用天数(password_reuse_time)或不可重用次数(password_reuse_max)后,密码才可以使用。

说明:
不可重用天数默认值为60天,不可重用次数默认值是0。这两个参数值越大越安全,但是在使用过程中会带来不便,其默认值符合安全标准,您可以根据需要重新设置参数,提高安全等级。

1.由于密码复杂度决定了修改密码不能和当前密码相同,因此即使password_reuse_max参数为0,修改密码也不能和当前密码相同。
2.用户修改的密码只需要满足一个条件即可认为密码可以重用。
3.密码过期时间判断与系统绝对时间有关。当调整系统时间时,会影响对密码过期时间的判断。将时间往前调整,会导致密码过期时间相对延长,时间往后调整,则会导致密码过期时间相对缩短。(防黑客,故障处理)		配置password_reuse_time参数。

1.查看已配置的参数。
POSTGRES=# show password_reuse_time;
 password_reuse_time
---------------------
 60
(1 row)

2.如果显示结果不为60,执行如下命令设置成默认值60(不建议设置为0,即使需要设置也要将所有集群节点中的password_reuse_time都设置为0才能生效)。
gs_guc reload -c password_reuse_time=60

配置password_reuse_max参数。

1.查看已配置的参数。
POSTGRES=# show password_reuse_max;
 password_reuse_max
--------------------
 0
(1 row)

如果显示结果不为0,执行如下命令设置成默认值0。
gs_guc reload -c password_reuse_max=0
密码修改普通用户可以定期更改自己的帐户密码,以避免帐户密码被非法窃取。以修改用户user1密码为例,命令格式如下:

ALTER USER user1 IDENTIFIED BY "1234@abc" replace "5678@def";

说明:
1234@abc、5678@def分别代表用户user1的新密码和原始密码,这些密码要符合规则,否则会执行失败。
管理员可以修改自己的或者其他帐户的密码。通过修改其他帐户的密码,解决用户密码遗失所造成无法登录的问题。

说明:
管理员是数据库的系统管理员,修改自己的或者其他帐户(普通用户或者其他系统管理员)的帐户密码时需要指定原始密码。		以修改用户user_read帐户密码为例,命令格式如下:

ALTER USER user_read IDENTIFIED BY "abc@1234";

表2 非字母数字字符

编号字符编号字符编号字符编号字符
1~9*17|25<
210(18[26.
3@11)19{27>
4#12-20}28/
5$13_21]29
6%14=22--
7^15+23--
8&16\24--
Zhao.Mr
关注
  • 0
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
gaussDB5.0版本轻量级安装包 Linux版本
08-27
GaussDB是华为自主研发的一款分布式并行数据库系统,它具备高性能、高可用性、高安全性和大数据处理能力。在5.0版本中,提供了轻量级安装选项,适用于那些对资源需求较低、但期望享有GaussDB特性的场景。 描述中...
gaussdb驱动文件
04-13
不要钱,随便下。 参考来源: https://dbs-download.obs.cn-north-1.myhuaweicloud.com/GaussDB/1637740994415/GaussDB_opengauss_client_tools.zip
连接GaussDB(DWS)报错:Invalid or unsupported by client SCRAM mechanisms
fen_fen的专栏
12-28 8885
连接GaussDB(DWS)报错:Invalid or unsupported by client SCRAM mechanisms
gaussdb 数据库用户和安全管理【数据加密】【03】
qq_42226855的博客
11-08 933
1. 数据加密 数据加密的密钥由系统对钱夹密码的复杂变化逻辑生成。钱夹密码由用户指定输入,必须符合密码复杂度要求。 注意: GaussDB不提供修改钱夹密码的接口,一旦设定,请牢记。 01.设定用于数据加密的钱夹密码。 通过以下SQL命令设定钱夹密码,以设定钱夹密码gaussdb_123为例: ALTER SYSTEM SET ENCRYPTION KEY IDENTIFIED BY 'gaussdb_123'; 说明: 钱夹密码设定后,GaussDB通过对钱夹密码的一系列复杂变化,生成用于数
管理用户及权限:设置安全策略——设置密码安全策略
最新发布
weixin_53596073的博客
05-21 603
用户密码存储在系统表pg_authid中,为防止用户密码泄露,openGauss对用户密码进行加密存储,所采用的加密算法由配置参数password_encryption_type决定。为防止用户密码泄露,在执行CREATE USER/ROLE命令创建数据库用户时,不能指定UNENCRYPTED属性,即新创建的用户的密码只能是加密存储的。在安装数据库时,会新建一个和初始化用户重名的操作系统用户,为了保证帐户安全,请定期修改操作系统用户的密码。通过修改其他帐户的密码,解决用户密码遗失所造成无法登录的问题。
GaussDB】GaussDB的密码安全策略
weixin_43346403的博客
04-10 399
4.账户密码的复杂度及长度要求如下。2.查看已配置的加密算法。3.修改密码加密算法。5.关于若口令的说明。
GaussDB数据库管理
Forlogenの解忧杂货铺
01-14 4932
1、概述 数据库管理主要指对于数据库管理系统进行管理和维护的工作,目标是保障数据库的稳定性、安全性、数据一致性和高性能。管理的范围为如下几类: 对象管理:对象的设计和实现工作 安全管理:数据的安全访问和避免数据泄漏 备份恢复管理:数据定期备份和灾难发生时的及时恢复 性能管理:监控并优化影响数据库性能的相关因素,增加系统的吞吐量,尽可能的提高工作负载 环境管理:数据库的运行和维护 2、对象管理 数据库对象指数据库里用来存储和指向数据的各种概念和结构,常见的对象有表(table)、视图(view)、索
简单使用OpenGauss数据库
make_progress的博客
02-03 2898
openGauss支持行列混合存储。行、列存储模型各有优劣,一般情况下,如果表的字段比较多(大宽表),查询中涉及到的列不多的情况下,适合列存储。如果表的字段个数比较少,查询大部分字段,那么选择行存储比较好。通常openGauss用于TP场景的数据库,默认使用行存储,仅对执行复杂查询且数据量大的AP场景时,才使用列存储。
GaussDB-driver 高斯数据库驱动 包含jdbc odbc GDS
08-27
3. GDS(GaussDB Driver Service):GDS可能是指GaussDB的驱动服务,这是一个专门为GaussDB设计的服务层,负责处理客户端请求,提供高效、安全的数据访问。它可能包含了元数据管理、连接池管理、事务处理等核心功能...
gaussDB jar包
12-07
GaussDB以其高可用性、高性能、高并发处理能力以及优秀的安全性著称。 在Java开发中,为了与GaussDB进行交互,我们需要使用对应的驱动包,即`gaussDB jar包`。这个jar包提供了Java应用程序连接、操作GaussDB数据库...
gaussDB5.0 企业版安装包 Linux版本
08-27
在实际应用中,gaussDB 5.0 企业版支持SQL标准,提供分布式事务、高可用性、数据安全性、性能优化等多种特性,可广泛应用于金融、电信、互联网等领域的大数据处理。同时,其开源特性也鼓励社区贡献,持续改进和完善...
gaussdb 数据库参数说明【连接、连接池、安全和认证】【02】
qq_42226855的博客
09-23 4533
1. 连接设置(客户端和服务器连接方式相关的参数) 监听+端口+连接数 listen_addresses 参数说明:声明服务器监听客户端连接的TCP/IP地址。 取值范围: 主机名或IP地址,多个值之间用英文逗号分隔。 星号(*)表示所有IP地址。 置空则服务器不会监听任何IP地址,这种情况下,只有Unix域套接字可以用于连接数据库。 默认值:localhost,只允许进行本地“回环”连接。 port 参数说明:GaussDB服务监听的TCP端口号。 取值范围: 整型,1024~65535 默认值:
华为openGauss高斯数据库安装--docker方式
jmshl的专栏
11-23 2953
openGauss是一款华为开源的关系型数据库管理系统,它具有多核高性能、全链路安全性、智能运维等企业级特性。openGauss内核早期源自开源数据库PostgreSQL,融合了华为在数据库领域多年的内核经验,在架构、事务、存储引擎、优化器及ARM架构上进行了适配与优化。作为一个开源数据库,期望与广泛的开发者共同构建一个多元化技术的开源数据库社区。
5.GaussDB数据库登陆失败次数和锁定时间
weixin_43346403的博客
08-31 1577
默认GaussDB登陆失败次数10次,密码锁定1天。可以看到默认使用1号密码策略,:大写,小写,数字,特殊符号中三种,长度大于8.密码有效时间:password_effect_time=0;密码重用天数:password_reuse_max=0,不可重用。密码重用次数:password_reuse_max=0;可以根据需要修改密码有效期,登陆失败次数,锁定时间等。SSL认证默认开启,且在CN,DN下都有证书。账户锁定后不能登陆,解锁后可以重新登陆。3.密码重用次数和有效时间查看。2.账号锁定后用户解锁。
openGauss数据库安全指导手册
Gauss松鼠会
02-11 5443
本实验适用于 openGauss数据库,通过该实验可以顺利完成对数据库用户权限的控制及各种审计。
gaussdb 安全维护设置帐户安全策略】【03】
qq_42226855的博客
11-07 1308
设置帐户安全策略(主机) GaussDB为帐户提供了自动锁定和解锁、手动锁定异常帐户和删除不再使用的帐户等一系列的安全措施,保证数据的使用安全。 配置项 描述 配制方法 帐户自动锁定和解锁 为了保证帐户安全,如果用户输入密码次数超过一定次数(failed_login_attempts),系统将自动锁定该帐户,默认值为10。次数设置越小越安全,但是在使用过程中会带来不便。 当帐户被锁定时间超过设定值(password_lock_time),则当前帐户自动解锁
html Input password encryption 前端 密码框加密
XPY567
06-20 2113
密码框加密 本代码需要Jquery 支持,并需要引入 JavaScript-MD5 支持自定义参数: elemPassword:需要绑定加密的input 文本框(随便你写) viewText:显示的字符(随便你写) encryAttr:输入的字符串加密后绑定的属性(随便你写) encryptionType:加密类型(需要可以自己扩展) ignoreKey:忽略参数(前三位必须是 空格、Backspace、Delete) 一般默认调用即可,ignoreKey 参数最好不要动,必须保持数组前三位是 空格、Ba
gauss100密码过期解决方法
weixin_42467874的博客
02-15 2565
解决方法: 1.首先查看gauss100的端口1888的状态,是正常的。 3.进入gauss100的bin目录下 cd /Gaudb/GaussDB100/app/bin/ 2.切换 db100 用户 su db100 3.查看数据库状态 python zctl.py -t status 4.停止:python zctl.py -t stop 5.启动:python zctl.py -t start 6.使用zsql连接数据库,默认用户及密码为sys/Changeme_123 7.连接数据库
GaussDB安全管理
05-18
GaussDB是一款企业级数据库,具有严格的安全管理措施以保护用户数据,以下是GaussDB的安全管理措施: 1. 认证和授权:GaussDB支持多种认证和授权方式,如密码认证、SSL/TLS认证、Kerberos认证等。管理员可以针对用户和角色进行授权管理,实现精细化访问控制。 2. 数据加密:GaussDB支持数据传输和存储的加密,包括SSL/TLS加密和数据加密,可确保数据在传输和存储过程中不会被窃取或篡改。 3. 安全审计:GaussDB内置了安全审计功能,可以对数据库操作和访问进行记录和审计,以便管理员及时发现异常操作和安全事件。 4. 防火墙:GaussDB支持网络防火墙,可以限制数据库的访问来源,防止非法访问和攻击。 5. 异地备份和灾备:GaussDB支持异地备份和灾备,可以将数据备份到远程服务器,保证数据的可靠性和可恢复性。 6. 安全补丁更新:GaussDB会定期发布安全补丁,及时修复数据库存在的安全漏洞和风险。 上述措施可以帮助企业建立完善的数据库安全管理体系,保护企业数据安全

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值