设置帐户安全策略
GaussDB 100为帐户提供了自动锁定和解锁帐户、手动锁定和解锁异常帐户和删除不再使用的帐户等一系列的安全措施,保证数据安全。账户的安全策略设置由与该账户关联的profile中参数确定。每一个账户有一个关联的profile,可以在账户创建的时候指定。如果没有指定,则使用默认的profile(DEFAULT)。通过更改关联的profile的参数,达到设置账户安全策略的目的。
自动锁定和解锁账户
“FAILED_LOGIN_ATTEMPTS”、“PASSWORD_LOCK_TIME”这两个参数的默认值都符合安全标准,用户可以根据需要重新设置参数,提高安全等级,但不允许设置为“0”。建议用户使用默认值。
- 为了保证帐户安全,如果用户输入密码次数超过一定次数(FAILED_LOGIN_ATTEMPTS),系统将自动锁定该帐户,默认值为10。次数设置越小越安全,但是在使用过程中会带来不便。
- 当帐户被锁定时间超过设定值(PASSWORD_LOCK_TIME),则当前帐户自动解锁,默认值为1天。时间设置越长越安全,但是在使用过程中会带来不便。“PASSWORD_LOCK_TIME”的整数部分表示天数,小数部分可以换算成时、分、秒。
- 由于配置对外提供接口服务的CN数量不同,数据库在帐户锁定上提供两种模式供用户选择:
- 安全模式:集群部署时配置一个CN对外提供接口服务。
- 高并发模式:集群部署时配置多个CN对外提供接口服务。
安全模式下单CN具备帐户锁定机制。高并发模式下提供多个CN,每个节点都具备帐户锁定机制,但各个节点的帐户锁定信息并不共享,每个节点帐户锁定是独立裁定的,在高并发的需求下,用户可以选择此模式,但要控制CN个数,以控制密码暴力破解风险。另外各节点的自动解锁时间依据的是各节点操作系统的时钟,用户集群部署时要确保各集群节点时间同步保持一致性,可以使用NTP来配置,否则会有各节点帐户解锁时间不一致的风险。
示例命令如下:--查看用户关联的profile及其已配置的参数。 SELECT * FROM ADM_PROFILES;
PROFILE RESOURCE_NAME RESOURCE_TYPE THRESHOLD ---------------------- --------------------------------- ------------- ---------------------------------------------------- DEFAULT SESSIONS_PER_USER KERNEL UNLIMITED DEFAULT FAILED_LOGIN_ATTEMPTS PASSWORD 10 DEFAULT PASSWORD_LIFE_TIME PASSWORD 180 DEFAULT PASSWORD_REUSE_TIME PASSWORD UNLIMITED DEFAULT PASSWORD_REUSE_MAX PASSWORD UNLIMITED DEFAULT PASSWORD_LOCK_TIME PASSWORD 1 DEFAULT PASSWORD_GRACE_TIME PASSWORD 7 7 rows fetched.
--更改failed_login_attempts参数为10次。 ALTER PROFILE DEFAULT LIMIT FAILED_LOGIN_ATTEMPTS 10;
手动锁定和解锁帐户
若管理员发现某帐户被盗、非法访问等异常情况,可手动锁定该帐户。当管理员认为帐户恢复正常后,可手动解锁该帐户。
以手动锁定和解锁用户Tom为例,命令格式如下:
- 手动锁定
ALTER USER Tom ACCOUNT LOCK;
- 手动解锁
ALTER USER Tom ACCOUNT UNLOCK;
删除不再使用的帐户
当确认帐户不再使用,管理员可以删除帐户。该操作不可恢复。
以删除帐户Tom为例,命令格式如下:
DROP USER Tom CASCADE;
说明:删除的用户正处于活动状态时,是无法删除的,需要用户先断开会话,才可以删除。
删除用户时携带CASCADE时,这个用户下的所有对象将一并删除。
「喜欢这篇文章,您的关注和赞赏是给作者最好的鼓励」关注作者【版权声明】本文为墨天轮用户原创内容,转载时必须标注文章的来源(墨天轮),文章链接,文章作者等基本信息,否则作者和墨天轮有权追究责任。如果您发现墨天轮中有涉嫌抄袭或者侵权的内容,欢迎发送邮件至:contact@modb.pro进行举报,并提供相关证据,一经查实,墨天轮将立刻删除相关内容。评论
- 手动解锁