关键字:
安全;来源限制;;人大金仓;KingbaseES
概述
来源限制是由数据库管理员对要登录数据库的用户及 IP 进行设置,对于处于黑名单中的用户及 IP,数据库将不允许登录。这里黑名单的优先级较高。
KingbaseES 通过插件的方式来进行来源限制。这种方式更为灵活,当数据库的实用场景需要进行来源限制时,加载插件即可。而不需要该功能时,卸载插件即可。该插件默认加载。KingbaseES 中通过 1 个全局级参数配合插件来实现用户来源限制管理。该插件功能默认开启。详情参见插件 src_restrict 。
特性实际操作
shared_preload_libraries = 'src_restrict' show src_restrict.enable; src_restrict.enable ------------------- on (1 行记录) alter system set src_restrict.enable=off; ALTER SYSTEM select sys_reload_conf(); sys_reload_conf ----------------- t (1 行记录) show src_restrict.enable; src_restrict.enable ------------------- off (1 行记录) 系统视图 src_restrict.show_rules 所有用户都可以通过该视图查看当前的限制规则。 select * from src_restrict.show_rules; 系统函数 src_restrict.add_rules 添加来源规则的限制。 语法如下:src_restrict.add_rules( filter_type int, rule_user text, rule_ip text, outrule_ip text) 系统函数 src_restrict.remove_rules 删除来源规则的限制。 src_restrict.remove_rules( filter_type int, rule_user text, rule_ip text) |
使用经验及注意事项
来源限制本身注意事项较少,相关测试应在来源限制的基础上查看黑白名单的使用。
价值评价
可以通过来源限制,限制一些不允许访问的ip,或者是一些风险或者不可信的ip,这比黑名单级别更高,可以优先的防止其进行连接,提高了安全性。
参考资料
《KingbaseES 安全指南》
