暂无图片
暂无图片
暂无图片
暂无图片
暂无图片

华为GaussDB T SYS用户的密码加密zencrypt

原创 章芋文 2019-10-03
713

zencrypt工具的操作日志默认记录在$GSDB_HOME/log/oper路径下,日志文件名称为:zencrypt.olog。其中,zencrypt工具的日志保留个数:10,日志文件最大大小:10M,日志文件权限:600,日志目录权限:700。

在线更新密钥因子(_FACTOR_KEY)会触发工作密钥(LOCAL_KEY)同步更新,如果配置了SSL私钥密码,也会触发SSL私钥密码同步更新。

可以使用zencrypt -g -f <factor_key>指定密钥因子生成新的工作密钥,然后通过alter system或者更新配置文件方式更新工作密钥。

基于安全要求,zencrypt工具只能由非root用户执行,root用户执行将报错,报错提示如下:

""root"" execution of the zencrypt tool is not permitted。

语法格式

显示帮助页面

zencrypt {-h|-H}

显示版本信息

zencrypt {-v|-V}

使用PBKDF2加密用户密码

zencrypt {-e|-E} PBKDF2

使用SCRAM_SHA256加密用户密码

zencrypt {-e|-E} SCRAM[_SHA256] [-i iter_count]

使用AES256加密SSL私钥密码

zencrypt {-e|-E} AES[256] {-f|-F} factor_key {-k|-K} work_key

生成密钥因子和工作密钥

zencrypt {-g|-G} [{-f factor_key | -o key_file}]

参数说明

参数

说明

-h,-H

显示帮助页面。

-v,-V

显示版本信息。

-g, -G

生成密钥因子和工作密钥。

-e,-E

指定加密算法。当前支持的算法如下:

SCRAM_SHA256:用来加密SYS用户密码。

AES256:加密SSL私钥密码。

PBKDF2:加密SYS用户密码。

-f, -F

指定密钥因子。

仅在使用AES256算法或者生成工作密钥时有效。

-k, -K

指定工作密钥。

仅在使用AES256算法时有效。

-o, -O

将指定的密钥因子经过HMAC运算的结果写入到-O指定的文件中。生成的文件可用于创建数据库时修改默认的密钥因子。

仅在生成密钥因子时有效。

文件存放路径需要当前用户有可写权限。

如果通过替换文件的方式修改密钥因子,还需要同步修改配置文件中的工作密钥(LOCAL_KEY)参数,保证密钥配对,工作密钥可以使用zencrypt工具生成的WorkKey值。

-i

指定迭代次数。

仅在使用SCRAM_SHA256算法加密用户密码时有效。

「喜欢这篇文章,您的关注和赞赏是给作者最好的鼓励」
关注作者
【版权声明】本文为墨天轮用户原创内容,转载时必须标注文章的来源(墨天轮),文章链接,文章作者等基本信息,否则作者和墨天轮有权追究责任。如果您发现墨天轮中有涉嫌抄袭或者侵权的内容,欢迎发送邮件至:contact@modb.pro进行举报,并提供相关证据,一经查实,墨天轮将立刻删除相关内容。

评论