gaussdb 安全维护【设置远程连接安全策略】【06】

最新推荐文章于 2024-04-25 16:00:00 发布
最新推荐文章于 2024-04-25 16:00:00 发布
阅读量696 收藏 1
点赞数
分类专栏: GaussDB
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_42226855/article/details/109553559
版权

设置远程连接安全策略

GaussDB远程连接安全管理采取了SSL认证功能,包括双向认证、服务器认证和客户端认证。

前提条件
从CA认证中心申请到正式的服务器证书和私钥。(假设服务器的私钥为server.key,证书为server.crt,客户端的私钥为client.key,证书为client.crt,CA根证书名称为cacert.pem

背景信息
GaussDB支持SSL协议标准,SSL协议是一种安全性更高的协议标准,它加入了数字签名和数字证书来实现客户端和服务器的双向身份验证,保证了通信双方更加安全的数据传输。

1.以gaussdba用户身份登录GaussDB服务器。
2.开启SSL认证模式。

gs_guc set -c ssl=on

3.配置客户端接入认证参数。

cd /opt/gaussdb/data

vi pg_hba.conf

例如,增加类似如下的信息,表示允许10.0.0.2/24网段的客户端以ssl认证方式连接到GaussDB服务:

hostssl  all   all 10.0.0.2/24      sha256

4.配置SSL认证相关的数字证书参数(分别在GaussDB服务器和客户端配置),具体要求请参见表1。

由于三种认证方式的配置方法类似,以双向认证为例,配置方法如下所示。

  • 在服务器上配置如下参数。
gaussdba@gauss21:/opt/gaussdb/data> gs_guc set -c "ssl_cert_file='server.crt'"
gs_guc set: ssl_cert_file='server.crt'
gaussdba@gauss21:/opt/gaussdb/data> gs_guc set -c "ssl_key_file='server.key'"
gs_guc set: ssl_key_file='server.key'
gaussdba@gauss21:/opt/gaussdb/data> gs_guc set -c "ssl_ca_file='cacert.pem'"
gs_guc set: ssl_ca_file='cacert.pem'
gaussdba@gauss21:/opt/gaussdb/data> gs_guc set -c "ssl_crl_file=' '"
gs_guc set: ssl_crl_file=''
  • 在客户端上配置如下环境变量。
export PGSSLCERT="/opt/gaussdb/data/client.crt"

export PGSSLKEY="/opt/gaussdb/data/client.key"

export PGSSLMODE="prefer"

export PGSSLROOTCERT=" "

export PGSSLCRL=" "
  • 表1 SSL认证方式
认证方式配置服务器端参数配置客户端环境变量维护建议
双向认证将服务器证书、服务器私钥、废弃证书和根证书拷贝到$GAUSSDATA下,并设置如下参数:

ssl_cert_file
ssl_key_file
ssl_ca_file
ssl_crl_file		设置如下环境变量:

PGSSLCERT
PGSSLKEY
PGSSLROOTCERT
PGSSLCRL
PGSSLMODE		该方式应用于安全性要求较高的场景。使用此方式时,
建议设置客户端的PGSSLMODE变量为verify-ca或verify-full,
服务器端的认证方式设定为cert,这样只有某些授权的客户端
和服务器才能使用GaussDB进行数据通信,确保了网络数据的安全性。
服务器认证将服务器端证书和私钥文件拷贝到$GAUSSDATA下,并设置如下参数:

ssl_cert_file
ssl_key_file		设置如下环境变量:

PGSSLROOTCERT
PGSSLCRL
PGSSLMODE		为防止基于TCP链接的欺骗,建议使用SSL证书认证功能。
除配置服务器证书和私钥文件外,建议客户端使用
PGSSLMODE=verify-ca或verify-full方式连接
客户端认证将服务器端的根证书和证书吊销列表拷贝到$GAUSSDATA下,并设置如下参数:

ssl_ca_file
ssl_crl_file		设置如下环境变量:

PGSSLROOTCERT
PGSSLCRL
PGSSLMODE		如果服务器希望只有授权客户端才能连接服务器,建议采用客户端认证方式

说明

  • 从安全性考虑,建议使用双向认证方式。
  • 配置客户端环境变量,必须包含文件的绝对路径。
  • 服务器端既可以配置环境变量也可以配置参数文件(故障排查,设置保持一致)。

6.修改服务器密钥的权限。
权限必须是600,所属用户为gaussdba,所在用户组为dbgrp。如果权限不满足要求,则GaussDB无法启动。使用如下命令修改权限。

cd /opt/gaussdb/data

chown gaussdba:dbgrp server.key

chmod og-rwx server.key

若涉及客户端认证也需修改客户端密钥的权限:

chmod og-rwx client.key

7.重启GaussDB使配置生效。

gs_ctl restart
Zhao.Mr
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
GaussDB-driver 高斯数据库驱动 包含jdbc odbc GDS
08-27
3. GDS(GaussDB Driver Service):GDS可能是指GaussDB的驱动服务,这是一个专门为GaussDB设计的服务层,负责处理客户端请求,提供高效、安全的数据访问。它可能包含了元数据管理、连接池管理、事务处理等核心功能...
gaussDB5.0版本轻量级安装包 Linux版本
08-27
GaussDB是华为自主研发的一款分布式并行数据库系统,它具备高性能、高可用性、高安全性和大数据处理能力。在5.0版本中,提供了轻量级安装选项,适用于那些对资源需求较低、但期望享有GaussDB特性的场景。 描述中...
GaussDB 100 数据的安装及远程连接
老码农的心路历程
12-02 5489
Gauss安装及远程连接。非常细致实用,文章中的软件必须先准备好。
华为GaussDB:使用Data Studio远程访问华为GaussDB服务器(基于华为鲲鹏云)
nosprings的博客
02-05 4703
Gauss数据库服务器已经安装好,在华为鲲鹏云服务器,这里不赘述: 1、修改白名单,允许远程设备访问服务器 1、服务器上登录数据库。 zsql sys/Changeme_123@127.0.0.1:1888 2、添加白名单IP地址,直接生效,121.244.146.94,120.244.146.94这两个是家里网关的外网地址,这个网上可以查。 ALTER SYSTEM SET TCP_INVI...
GaussDB轻量化运维管理工具介绍
最新发布
Gauss松鼠会
04-25 1070
从管理平台的架构出发,结合平台的实例管理、实例升级、容灾管理和监控告警的功能和操作介绍,全面覆盖日常运维操作,带您理解并熟练运用GaussDB运维平台完成运维工作。
GaussDB数据库----连接】
热门推荐
qq_42226855的博客
06-09 1万+
1. 确认连接信息 客户端工具通过CN连接数据库。因此连接前,需获取CN所在服务器的IP地址及CN的端口号信息。客户端工具可以通过任何一个CN连接数据库。 以操作系统用户omm登录安装有MPPDB服务的任一主机。执行source ${BIGDATA_HOME}/mppdb/.mppdbgs_profile命令启动环境变量。 使用“gs_om -t status --detail”命令查询集群各实例情况。 gs_om -t status --detail [ Coordinator State ]
深入理解远程访问策略
Execute的专栏
11-15 2716
在虚拟专用网络(VPN)连接基础一文中我们曾经提及,你可以通过以下两种方式来控制用户的远程拨入: 在用户账户的拨入属性中设置为允许访问或拒绝访问来显式控制VPN客户的远程拨入; 在用户账户的拨入属性中设置为通过远程访问策略控制访问,然后创建远程访问策略来控制用户的远程拨入。 那么,它们之间有什么区别呢? 它们之
gaussDB jar包
12-07
GaussDB以其高可用性、高性能、高并发处理能力以及优秀的安全性著称。 在Java开发中,为了与GaussDB进行交互,我们需要使用对应的驱动包,即`gaussDB jar包`。这个jar包提供了Java应用程序连接、操作GaussDB数据库...
gaussdb驱动文件
04-13
不要钱,随便下。 参考来源: https://dbs-download.obs.cn-north-1.myhuaweicloud.com/GaussDB/1637740994415/GaussDB_opengauss_client_tools.zip
gaussDB5.0 企业版安装包 Linux版本
08-27
在实际应用中,gaussDB 5.0 企业版支持SQL标准,提供分布式事务、高可用性、数据安全性、性能优化等多种特性,可广泛应用于金融、电信、互联网等领域的大数据处理。同时,其开源特性也鼓励社区贡献,持续改进和完善...
通过公网连接GaussDB数据库实例
Gauss松鼠会
03-14 3046
通过公网连接GaussDB 数据库实例。
gaussdb 数据库用户和安全管理【用openssl生成SSL证书的流程】【05】
qq_42226855的博客
11-10 546
1.相关概念 对称加密:通过加密文件进行加密数据,使用相同的加密文件进行解密数据。 非对称加密:通过加密文件进行加密数据,使用另一个加密文件进行解密数据。 加密解密:公钥和私钥都可以用来加密数据,使用公钥加密数据,然后私钥解密的情况称为加密解密。 签名、验证签名:使用私钥加密数据,公钥解密一般被称为签名和验证签名。 说明: 使用公钥加密的数据只有它相对应的私钥可以解开,所以你可以把公钥给其他人,让别人加密他想要传送给你的数据,这个数据只有到了有私钥的你这里,才可以解开有用的数据。同理,如果你用你的私
gaussdb 数据库用户和安全管理【用SSL进行安全的TCP/IP连接】【04】
qq_42226855的博客
11-08 1136
1. 用SSL进行安全的TCP/IP连接 GaussDB支持通过SSL加密客户端和服务器之间、主机和备机之间的通讯,为敏感数据在Internet上的传输提供了一种安全保障手段。 背景信息 GaussDB支持SSL 3.0协议标准,SSL 3.0协议是一种安全性更高的协议标准,它加入了数字签名和数字证书来实现客户端和服务器的双向身份验证,保证了通信双方更加安全的数据传输。 如果只是为了测试,可以使用Openssl生成证书。 SSL相关的参数既控制客户端和主机的SSL通讯,同时还控制着主机和备机之间的SSL通
gaussdb 数据库参数说明【连接、连接池、安全认证】【02】
qq_42226855的博客
09-23 4496
1. 连接设置(客户端和服务器连接方式相关的参数) 监听+端口+连接数 listen_addresses 参数说明:声明服务器监听客户端连接的TCP/IP地址。 取值范围: 主机名或IP地址,多个值之间用英文逗号分隔。 星号(*)表示所有IP地址。 置空则服务器不会监听任何IP地址,这种情况下,只有Unix域套接字可以用于连接数据库。 默认值:localhost,只允许进行本地“回环”连接。 port 参数说明:GaussDB服务监听的TCP端口号。 取值范围: 整型,1024~65535 默认值:
gaussdb 数据库管理工具【gs_guc 命令参考】【03】
qq_42226855的博客
09-16 5791
1. gs_guc 介绍 gs_guc是GaussDB用于调整postgresql.conf和pg_hba.conf配置文件中参数值的工具(仅仅调整参数,会不会自动加载生效?)。gs_guc也是GaussDB提供的一种用户密码加密工具,可以加密存储用户的明文密码,避免密码泄露。 GaussDB的配置文件(postgresql.conf)中的参数默认值都是单机的配置模式,可以根据自己的应用调整参数的默认值,包括监听地址和端口,性能调整参数以及双机调整参数等。配置文件pg_hba.conf中的参数默认值都是默认
gaussdb 数据库用户和安全管理【客户端接入认证】【02】
qq_42226855的博客
11-08 1127
1. 配置客户端接入认证 客户端接入认证是由一个配置文件(默认名称为pg_hba.conf)控制的,它存放在数据库的数据目录里。hba(host-based authentication)表示是基于主机的认证。 背景信息 GaussDB支持如下三种认证方式,无论哪种认证方式,都需要配置pg_hba.conf文件。 基于主机的认证:服务器端根据客户端的IP地址、用户名及要访问的数据库来查看配置文件从而判断用户是否通过认证。 口令认证:包括远程连接的加密口令认证和本地连接的非加密口令认证。 SSL加密:使用V
首批可信云认证,华为云GaussDB过了!
qq_40338721的博客
11-05 724
本次测评范围,均是云原生数据库服务能力重要指标   近日在“2020云原生产业大会”上   华为云GaussDB数据库服务经权威认证   首批通过信通院可信云服务测评   顺利领证   此次测评范围涉及数据库基础能力、平台可观测能力、资源管理能力、服务可用性、数据可靠性、服务安全、计量计费能力和数据库性能等,均是云原生数据库服务能力的重要指标。   那么,华为云GaussDB数据库,是凭借什么获得这项殊荣呢?   极致架构,兼具商业开源双重价值   首先,华为云GaussDB数据库,统一
GaussDB安全管理
05-18
GaussDB是一款企业级数据库,具有严格的安全管理措施以保护用户数据,以下是GaussDB的安全管理措施: 1. 认证和授权:GaussDB支持多种认证和授权方式,如密码认证、SSL/TLS认证、Kerberos认证等。管理员可以针对用户和角色进行授权管理,实现精细化访问控制。 2. 数据加密:GaussDB支持数据传输和存储的加密,包括SSL/TLS加密和数据加密,可确保数据在传输和存储过程中不会被窃取或篡改。 3. 安全审计:GaussDB内置了安全审计功能,可以对数据库操作和访问进行记录和审计,以便管理员及时发现异常操作和安全事件。 4. 防火墙:GaussDB支持网络防火墙,可以限制数据库的访问来源,防止非法访问和攻击。 5. 异地备份和灾备:GaussDB支持异地备份和灾备,可以将数据备份到远程服务器,保证数据的可靠性和可恢复性。 6. 安全补丁更新:GaussDB会定期发布安全补丁,及时修复数据库存在的安全漏洞和风险。 上述措施可以帮助企业建立完善的数据库安全管理体系,保护企业数据安全

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值